専門業務実務指針 4461 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続業務に関する実務指針 平成 2 9 年 5 月 3 1 日日本公認会計士協会業種別委員会 ( 実務指針 : 第 5 5 号 ) 項番号 Ⅰ 本実務指針の適用範囲 1. 適用範囲... 1 2. 背景... 4 3. 本実務指針の目的... 5 4. 本業務の特質... 6 5. 定義... 9 Ⅱ 本業務に関する追加の要求事項及び留意事項 1. 本業務の制度前提... 10 2. 業務契約の新規の締結及び更新に関する留意事項... 11 3. 本業務の手続及び証拠に関する留意事項... 15 4. 確認書... 17 5. 報告... 19 Ⅲ 適用... 22 付録付録 1 仮想通貨交換業者における利用者財産の分別管理に係る独立業務実施者の合意された手続実施結果報告書の文例付録 2 確認書の記載例付録 3 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続チェック項目 チェックのポイント付録 4 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続チェック項目及びチェックポイント 合意された手続及び手続実施結果対照表
Ⅰ 本実務指針の適用範囲 1. 適用範囲 1. 本実務指針は 平成 28 年 6 月 3 日に公布された情報通信技術の進展等の環境変化に対応するための銀行法等の一部を改正する法律により改正された資金決済に関する法律 ( 以下 資金決済法 という ) 第 63 条の11 第 2 項の規定に基づき 公認会計士又は監査法人 ( 以下 業務実施者 という ) が 同条第 1 項の規定による仮想通貨交換業者の利用者財産の分別管理の状況についての監査 ( 以下 分別管理監査 という ) を合意された手続業務 ( 以下 本業務 という ) により実施する場合の合意された手続 業務実施者の責任及び合意された手続実施結果報告書 ( 以下 実施結果報告書 という ) の作成等について取りまとめたものである 2. 本実務指針の適用に際し関連する実務指針は 専門業務実務指針 4400 合意された手続業務に関する実務指針 ( 以下 専門業務実務指針 4400 という ) である 3. 本実務指針は 専門業務実務指針 4400に記載された要求事項を遵守するに当たり 当該要求事項及び適用指針と合わせて適用するための指針を示すものであるが 第 11 項から第 14 項における業務契約の新規の締結及び更新並びに第 17 項の確認書の入手については追加の要求事項としている なお 本実務指針に定めがないものについては 専門業務実務指針 4400に従って業務を行うことを前提としている 2. 背景 4. 平成 28 年 6 月 3 日に公布された資金決済法において 仮想通貨交換業者に対する登録制の導入に合わせて 利用者保護のためのルールが整備された 具体的には 資金決済法第 63 条の11( 利用者財産の管理 ) 第 1 項において 仮想通貨交換業者は仮想通貨交換業者に関する内閣府令 ( 以下 内閣府令 という ) で定めるところにより利用者の金銭又は仮想通貨を自己の金銭又は仮想通貨と分別して管理しなければならないことが規定されており 第 2 項において この管理の状況について内閣府令で定めるところにより 定期に公認会計士又は監査法人の監査を受けなければならないことが規定されている また 内閣府令第 23 条第 1 項において 当該管理の状況について 金融庁長官の指定する規則の定めるところにより 毎年 1 回以上 公認会計士又は監査法人の監査を受けなければならないとされており 内閣府令第 30 条第 2 項第 4 号において 資金決済法第 63 条の14 第 2 項に基づき内閣総理大臣に提出する利用者財産の管理に関する報告書に 分別管理監査を受けた場合の公認会計士又は監査法人から提出された直近の報告書の写しを添付することが規定されている 同時に 資金決済法第 63 条の14 第 3 項において 第 1 項に基づき仮想通貨交換業者が事業年度ごとに内閣総理大臣に提出する仮想通貨交換業に関する報告書に 財務に関する書類及び当該書類についての公認会計士又は監査法人の監査報告書等を添付することが規定されており 仮想通貨交換業者に対する財務諸表監査も義務付けられることとなった - 1 -
3. 本実務指針の目的 5. 本実務指針における業務実施者の目的は 資金決済法第 63 条の11 第 2 項の規定に基づき 同条第 1 項の規定による仮想通貨交換業者の分別管理の状況 すなわち分別管理の法令遵守及びその内部統制の整備及び運用の状況について 仮想通貨交換業者との間で合意された手続を実施し その結果を報告することにある 4. 本業務の特質 6. 業務依頼者たる仮想通貨交換業者の経営者は 分別管理の法令遵守及びその内部統制を整備及び運用する責任を有しており 分別管理の状況についての評価を実施する 具体的には 付録 3 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続チェック項目 チェックのポイント 等を利用し また 基準日時点の分別管理の状況を確かめることにより 分別管理の法令遵守及びその内部統制の整備及び運用の状況を評価する 合意された手続に関する業務実施者の報告は 分別管理の状況についての手続実施結果を事実に則して報告するのみにとどまり 手続実施結果から導かれる結論の報告も 保証の提供もしない このため 実施結果の利用者たる仮想通貨交換業者は 業務実施者から報告された手続実施結果に基づき 自らの責任で結論を導くこととなる なお 業務実施者は法律の専門家ではないため 本実務指針に基づいて業務実施者が発行する実施結果報告書は 分別管理の法令遵守について法的な見地からの判断を提供するものではない 7. 合意された手続業務では 保証業務における証拠収集手続と類似した手続が業務実施者により実施されるものの 結論の基礎となる十分かつ適切な証拠を入手することを目的とはしておらず 保証業務とはその性質を異にするものである 合意された手続業務において業務実施者は 重要性の概念の適用やリスク評価に基づく手続の決定は行わず また 業務実施者の報告に基づき実施結果の利用者が不適切な結論を導くリスクの評価や 実施結果の利用者が不適切な結論を導くリスクを許容可能な水準に抑えるために入手した証拠が十分かつ適切か否かの評価等も行わない 8. 実施結果報告書には 以下のような特質がある 合意された手続業務が保証業務と誤解されないように 実施結果報告書において保証業務ではない旨が明瞭に記載される 手続の目的等を知らない者に手続実施結果を誤用されないように 実施結果報告書は 手続の目的等を十分に理解し 手続等に合意した関係者のみに配布及び利用が制限される 5. 定義 9. 本実務指針における用語の定義は 以下のとおりとする (1) 仮想通貨 資金決済法第 2 条第 5 項における仮想通貨をいう - 2 -
(2) 仮想通貨交換業者 資金決済法第 2 条第 8 項において登録された仮想通貨交換業者をいう (3) 業務実施者 資金決済法第 63 条の 11 第 2 項の規定に基づき 同条第 1 項の規定による仮想通貨交換業者の分別管理の状況についての合意された手続業務を実施する公認会計士又は監査法人をいう (4) 業務執行責任者 資金決済法第 63 条の 11 第 2 項の規定に基づき 同条第 1 項の規定による仮想通貨交換業者の分別管理の状況についての合意された手続業務を実施する責任者 すなわち当該業務とその実施及び発行する実施結果報告書に対する責任を負う社員等をいう (5) 業務依頼者 資金決済法第 63 条の 11 第 2 項の規定に基づき 業務実施者と業務契約を締結し 同条第 1 項の規定による仮想通貨交換業者の分別管理の状況についての合意された手続業務を依頼する仮想通貨交換業者をいい 手続の決定責任を負う者をいう (6) 業務契約書 本実務指針に基づく合意された手続業務契約書 (7) 基準日 合意された手続において 一定時点の分別管理の状況について手続を実施する際の その基準となる日をいう (8) 実施結果報告書 資金決済法第 63 条の 11 第 2 項の規定に基づき 同条第 1 項の規定による仮想通貨交換業者の分別管理の状況についての合意された手続業務を実施した結果 業務実施者が発行する報告書をいう Ⅱ 本業務に関する追加の要求事項及び留意事項 1. 本業務の制度前提 10. 資金決済法第 63 条の11 第 1 項に基づき分別管理を実施しなければならないとされている主体 すなわち業務依頼者は 仮想通貨交換業者である したがって 本業務の実施に当たり 業務依頼者たる仮想通貨交換業者の経営者は分別管理の状況 すなわち分別管理の法令遵守及びその内部統制の整備及び運用の状況について責任を認識し 評価していることが前提となる なお 業務契約する際の具体的な留意事項は第 11 項に記載されている また 仮想通貨交換業者の分別管理に関して適用される法令等は以下のとおりである 資金決済法第 63 条の 11 第 1 項及び第 2 項 内閣府令 事務ガイドライン ( 第三分冊 : 金融会社関係 )16. 仮想通貨交換業者関係 ( 以下 ガイドライン という ) なお 仮想通貨交換業者が自己の分別管理の状況について 付録 3 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続チェック項目 チェックのポイント 等を参考にして評価する - 3 -
2. 業務契約の新規の締結及び更新に関する留意事項 11. 業務実施者は本業務に関して 専門業務実務指針 4400 第 18 項に従い業務契約書を締結するものとする なお 業務実施者は 以下の条件が満たされない場合には 契約を締結してはならない 業務依頼者の経営者が 分別管理の状況 すなわち分別管理の法令遵守及びその内部統制の整備及び運用の状況について責任を認識し 評価していること また これらに関する文書 資料が適切に整備 保存されていること 業務依頼者が 合意された手続の適切性及び十分性について責任を有すること また 業務実施者から報告された実施結果に基づき自らの責任で結論を導くことを認識していること 本業務における実施結果報告書は 仮想通貨交換業者が資金決済法第 63 条の11 第 2 項の規定を遵守するために利用することのみを目的として作成されるものであるため 実施結果の想定利用者は 業務依頼者たる仮想通貨交換業者及び実施結果報告書が添付される利用者財産の管理に関する報告書 ( 資金決済法第 63 条の 14 第 2 項 内閣府令第 30 条第 2 項第 4 号 ) の提出先である規制当局であること 業務実施者と業務依頼者の間において 内閣府令第 23 条第 2 項に従って独立性を保持していること 加えて 合意された手続を行うに当たって 業務実施者は以下の法令等を事前に理解することが必要である 資金決済法第 63 条の 11 第 1 項及び第 2 項 内閣府令 ガイドライン 12. 合意された手続業務においては 公正性の原則に基づき利益相反の回避が求められるが 通常 業務の対象とする情報等に責任を負う者に対する独立性は要求されない しかしながら 本業務はいわゆる財務諸表監査ではないものの 法令では 監査 という語句が用いられており 内閣府令第 23 条第 2 項において独立性が要求されていることに留意が必要である 13. 業務実施者が 弁護士 情報処理技術者等他者の作業を利用する場合には 業務依頼者及び業務実施者がその利用について合意しなければならない また 業務契約書において その利用について記載し 実施結果報告書に 他者を利用した旨及びその内容について記載する ただし 内部監査人の利用は想定していない 14. 合意された手続業務に対する誤解を避けるため 合意された手続業務の開始前に業務契約書を締結することが 業務実施者及び業務依頼者にとって有益である この場合 業務実施の過程で合意された手続を変更又は追加する必要が生じたときには 業務実施者及び業務依頼者が協議の上 変更契約書又は覚書を締結する必要がある - 4 -
3. 本業務の手続及び証拠に関する留意事項 15. 仮想通貨交換業者の分別管理の状況について 業務実施者は主に以下の手続を立案し 実施する (1) 業務依頼者の経営者が 付録 3 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続チェック項目 チェックのポイント 等を利用して実施した評価の結果に基づき 質問 閲覧等を行う (2) 基準日時点の分別管理の状況を表す資料 ( 基礎シートやデータ等 ) を入手し 閲覧 再計算 照合等を行う なお 利用者の金銭の管理については 預金等による区分管理の場合は仮想通貨交換業者が管理する帳簿上の利用者財産の残高と分別管理している銀行等の口座残高を毎営業日照合した上で不足額が生じた場合は2 営業日以内に解消することが望ましいとされており ( ガイドラインⅡ-2 2 2-2(1)4) 利用者区分管理信託の場合は利用者区分管理信託に係る信託財産の元本の評価額が利用者区分管理必要額に満たない場合には 2 営業日以内に不足相当額を追加するものとされている ( 内閣府令第 21 条第 1 項第 5 号 ) また 利用者の仮想通貨の管理については 仮想通貨交換業者が管理する帳簿上の利用者の残高と ブロックチェーン等のネットワーク上の有高を毎営業日照合した上でネットワーク上の有高が帳簿上の利用者財産の残高に満たない場合は 5 営業日以内に不足額を解消することが望ましいものとされている ( ガイドライン Ⅱ-2 2 2-2(1)3) これらを踏まえて 基準日直前の計算基準日 照合日の資料を使用する 具体的には 付録 1 仮想通貨交換業者における利用者財産の分別管理に係る独立業務実施者の合意された手続実施結果報告書の文例 の 別紙 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続実施結果 が参考になる 16. 弁護士 情報処理技術者等他者の作業を利用するに当たっては 監査基準委員会報告書 620 専門家の業務の利用 を参考にする 4. 確認書 17. 業務実施者は 実施結果報告書の発行に先立ち 業務実施期間中に業務依頼者から提示を受けた資料及びその他の説明について 業務依頼者から確認書を入手しなければならない 確認書には 少なくとも以下の項目を記載しなければならないが 確認書の記載事項を追加するに当たっては 監査基準委員会報告書 580 経営者確認書 及び専門業務実務指針 4400 が参考になると考えられる 経営者は分別管理の法令を遵守する責任を有している旨 分別管理の法令遵守のために有効な内部統制を整備及び運用する責任は経営者にある旨 経営者が法令を遵守して利用者財産を分別管理していたことを確かめるために - 5 -
適切な手続を実施した旨 経営者が 付録 3 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続チェック項目 チェックのポイント 等を利用して実施した評価の結果及び基準日時点の利用者財産の分別管理の状況を確かめた結果 合意された手続が実務指針に準拠したものであることを 経営者が承知している旨 合意された手続実施結果の利用制限 ( 手続等に合意した業務依頼者及び実施結果報告書が添付される利用者財産の管理に関する報告書 ( 資金決済法第 63 条の 14 第 2 項 内閣府令第 30 条第 2 項第 4 号 ) の提出先である規制当局に制限される旨 ) 業務実施に影響を与える可能性のある不正及び違法行為又は未修正の誤謬に関する情報の有無 ( ある場合には その内容 ) 経営者は 業務実施者が要請した全ての情報を提供した旨 利用者財産の分別管理の状況に重要な影響を及ぼす後発事象が確認書時点までに発生しているか否か ( ある場合には その内容 ) 法令等に基づく要求の解釈についての責任は経営者にある旨 規制当局からの通告 指導等で分別管理の状況に重要な影響を及ぼす事項の有無 ( ある場合には その内容 ) 利用者財産の分別管理の状況に関する記録に適切に記録していない重要な取引等の有無 ( ある場合には その内容 ) 利用者財産の分別管理の状況に影響する不正の申立て又は不正の疑いに関する情報の有無 ( ある場合には その内容 ) 利用者財産の分別管理の状況に重要な影響をもたらすような契約諸条項を全て遵守している旨なお 以上の経営者確認書の文例については 付録 2 確認書の記載例 に記載している 18. 確認書の日付は 業務依頼者が 業務の対象とする情報等に対して責任を認めた日付であるため 実施結果報告書の日付より後にはならず 通常 実施結果報告書の日付とする 5. 報告 19. 実施結果報告書には 専門業務実務指針 4400 に従い以下の事項を記載する (1) 表題 ( 第 20 項参照 ) (2) 宛先 (3) 日付 (4) 業務実施者の署名又は記名押印 - 6 -
(5) 業務の対象 (6) 実施された手続は 業務依頼者との合意に基づくものである旨 (7) 業務依頼者の責任 (8) 業務実施者の責任 (9) 合意された手続業務の実施に当たり 専門業務実務指針 4400 及び本実務指針に準拠して業務を実施した旨 (10) 関連する職業倫理及び品質管理に準拠している旨 (11) 独立性を保持して業務を実施している旨 (12) 手続実施結果 (13) 該当する場合 実施結果報告書に記述される手続実施結果と矛盾した事実を示す事項 (14) 該当する場合 契約時に合意された手続のうち実施できなかった手続及びその理由 (15) 実施した手続は保証業務には該当せず したがって 手続実施結果から導かれる結論の報告も また 保証の提供もしない旨 (16) 業務実施者が 保証業務を実施した場合 手続を追加して実施した場合 又は手続の範囲を拡大した場合には 新たな事項が報告される可能性がある旨 (17) 実施結果報告書は 手続等に合意した業務依頼者及び実施結果報告書が添付される利用者財産の管理に関する報告書 ( 資金決済法第 63 条の 14 第 2 項 内閣府令第 30 条第 2 項第 4 号 ) の提出先である規制当局のみに配布及び利用が制限されている旨 (18) 実施結果報告書は 業務の対象とした仮想通貨交換業者の分別管理の状況のみに関係しており 全体としてのいかなる過去財務情報又は過去財務情報以外の情報等に言及するものではない旨なお 実施結果報告書の記載例は 付録 1 仮想通貨交換業者における利用者財産の分別管理に係る独立業務実施者の合意された手続実施結果報告書の文例 のとおりである 20. 本業務における実施結果報告書の表題は 第 11 項及び第 12 項のとおり内閣府令第 23 条第 2 項で独立性が求められているため 仮想通貨交換業者における利用者財産の分別管理に係る独立業務実施者の合意された手続実施結果報告書 となる 21. 本業務における実施結果報告書は 仮想通貨交換業者が資金決済法第 63 条の11 第 2 項の規定を遵守するために利用することのみを目的として作成されるものであるため 実施結果報告書の想定利用者である仮想通貨交換業者及び実施結果報告書が添付される利用者財産の管理に関する報告書 ( 資金決済法第 63 条の14 第 2 項 内閣府令第 30 条第 2 項第 4 号 ) の提出先である規制当局以外の者による利用の制限を記載する - 7 -
Ⅲ 適用 22. 本実務指針は 公表日以後に行われる仮想通貨交換業者における利用者財産の分別 管理に係る合意された手続業務から適用する - 8 -
付録 付録 1 仮想通貨交換業者における利用者財産の分別管理に係る独立業務実施者の合意された手続実施結果報告書の文例 以下は 仮想通貨交換業者における利用者財産の分別管理に係る独立業務実施者の合意された手続実施結果報告書の文例であり 必ずしも全ての状況を網羅するものではなく また 全ての状況に適用できることを意図したものではない したがって 個々の業務において合意された手続の内容に応じた記載を行う ただし 仮想通貨交換業者における利用者財産の分別管理の状況を確かめるための手続として必要な項目に対する手続を例示列挙していることから 大幅に省略又は削除することは想定していない 仮想通貨交換業者における利用者財産の分別管理に係る 独立業務実施者の合意された手続実施結果報告書 平成 年 月 日 株式会社 取締役会御中 ( 注 1) 監査法人代表社員公認会計士 印社員公認会計士 印 ( 注 2) 当監査法人 ( 注 3) は 株式会社 ( 以下 会社 という ) からの依頼及び資金決済に関する法律 ( 以下 資金決済法 という ) 第 63 条の 11 第 2 項の規定に基づき 同条第 1 項の規定による仮想通貨交換業者の分別管理の状況について会社との間で合意された以下の手続を実施した 業務依頼者の責任業務依頼者としての会社の責任は 合意された手続の十分性及び適切性を決定し 業務実施者から報告された手続実施結果に基づき 結論を自ら導くことにある なお これらの責任に加えて 会社の責任には 合意された手続業務の対象とする情報等を業務実施者に提供することが含まれる - 9 -
業務実施者の責任当監査法人 ( 注 3) の責任は 業務依頼者が手続の実施を依頼した目的に則して合意された手続を実施し その実施結果を報告することにある 当監査法人 ( 注 3) は 日本公認会計士協会が公表した専門業務実務指針 4400 合意された手続業務に関する実務指針 及び専門業務実務指針 4461 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続業務に関する実務指針 に準拠して手続を実施した 職業倫理 独立性及び品質管理当監査法人 ( 注 3) は 仮想通貨交換業者に関する内閣府令第 23 条第 2 項 日本公認会計士協会の公表した倫理規則及びその他の職業倫理に関する規定を遵守して業務を実施した 当該府令は業務実施者に保持すべき独立性を規定し 規則及び規定は 誠実性 公正性 職業的専門家としての能力及び正当な注意 守秘義務並びに職業的専門家としての行動の原則を提供している また 当監査法人 ( 注 3) は 日本公認会計士協会が公表した品質管理基準委員会報告書第 1 号 監査事務所における品質管理 に準拠して 職業的専門家としての基準及び適用される法令等の遵守に関する方針及び手続並びにその文書化を含む品質管理のシステムを整備及び運用して業務を実施した 合意された手続及びその実施結果当監査法人 ( 注 3) は 会社との間で合意された手続を実施した 合意された手続及び合意された手続を実施した結果は 別紙 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続実施結果 に記載のとおりである 合意された手続業務の特質上記手続は 過去財務情報以外の情報等に対する合理的保証又は限定的保証の結論の報告を目的とした一般に公正妥当と認められる保証業務の基準に準拠するものではない したがって 当監査法人 ( 注 3) は 平成 年 月 日現在の 株式会社の分別管理の状況について手続実施結果から導かれる結論の報告も また 保証の提供もしない 当監査法人 ( 注 3) が一般に公正妥当と認められる保証業務の基準に準拠して過去財務情報以外の情報等に対する保証業務を実施した場合 手続を追加して実施した場合 又は手続の範囲を拡大した場合には 報告すべき事項が新たに発見される可能性がある また 本報告書は平成 年 月 日現在の会社の分別管理の状況のみを対象とするものであり これらの情報を含む会社の全体としてのいかなる報告書にも言及するものではない - 10 -
配布及び利用制限本報告書は 会社が資金決済法第 63 条の11 第 2 項の規定を遵守するために利用することを目的として作成されたものであり 他のいかなる目的にも使用してはならず 実施結果の利用者たる会社及び本報告書を添付する利用者財産の管理に関する報告書 ( 資金決済法第 63 条の14 第 2 項 仮想通貨交換業者に関する内閣府令第 30 条第 2 項第 4 号 ) の提出先である規制当局以外に配布及び利用されるべきものではない 以上 ( 注 1) 宛先は 状況に応じて適宜 適切に修正する ( 注 2)1 本文例は 業務実施者が無限責任監査法人の場合を前提としている 業務実施者が有限責任監査法人の場合 業務契約において業務実施者が特定されている場合 又は監査法人の場合において報告書署名者に関する内規がある場合には これらに応じて代表社員の肩書を省略するなど 適宜必要な修正を行う 2 業務実施者が公認会計士の場合は 以下とする 公認会計士事務所公認会計士 ( 注 3) 業務実施者が公認会計士の場合には 私 又は 私たち とする - 11 -
別紙 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続実施結果 仮想通貨交換業者における利用者財産の分別管理の状況に係る合意された手続並び に手続実施結果及び発見事項は 次のとおりである ( 注 ) 金銭の分別管理については 仮想通貨交換業者に関する内閣府令 ( 以下 内閣府令 という ) 第 20 条により 預金等による区分管理又は内閣府令第 21 条の要件を満たす利用者区分管理信託のいずれかによることとされているため 選択した分別管理の方法によって 以下の3 又は4を選択する 1. 全般的事項合意された手続 1. 分別管理に関する法令 諸規則等の理解及び体制整備について 次の手続を行う 1 代表取締役社長に 関連法令 諸規則等の内容について理解し 遵守する体制を整備しているかについて質問する 2 代表取締役社長に 関連法令 諸規則等の内容 ( 改訂時の内容を含む ) について 社内へ周知徹底させる方法について質問する 2. 分別管理の規定等の整備及び運用について 次の手続を行う 1 代表取締役社長に 社内規程等が実態に即して整備されているかについて質問する 2 社内規程を閲覧して 金銭 仮想通貨それぞれについて 分別管理の手続の詳細や職務分掌を含め具体的に定められていることを確かめる 3 代表取締役社長に 金銭 仮想通貨及び預金の預入 払出 信託 手続実施結果及び発見事項 1 代表取締役社長に質問し 以下の回答を得た 2 代表取締役社長に質問し 以下の回答を得た 1 代表取締役社長に質問し 以下の回答を得た 2 分別管理に関する規定 を閲覧し 第〇条に分別管理の手続の詳細や職務分掌を含め具体的に定められていることを確かめた 3 代表取締役社長に質問し 以下の回答を得た - 12 -
の追加 解約において それぞれ担当部署において事務マニュアルなどが整備され そのとおり機能しているかについて質問する 4 分別管理に関する社内規程 金銭 仮想通貨及び預金の預入 払出 信託の追加 解約に関する事務マニュアルを入手し 報告書に添付する 3. 分別管理方法の利用者との契約への反映について次の手続を行う 1 代表取締役社長に 金銭 仮想通貨それぞれについて 分別管理の執行方法が利用者との契約に反映されているか また 第三者において管理する場合に契約に明記されており 利用者からの同意を得ているかについて質問する 2 利用者との契約書を閲覧し 分別管理の執行方法についての記載があること また 第三者において管理する場合に明記されていることを確かめる 3 利用者との契約書を入手し 報告書に添付する 4. 社内検査の状況について 1 社内検査の対象及び期間について 社内検査責任者に質問する 2 社内検査報告を閲覧し 実際に社内検査が行われていることを確かめる 3 社内検査マニュアル を入手し 報告書に添付する 4 〇〇より 分別管理に関する規程 及び 金銭 仮想通貨及び預金の預入 払出 信託の追加 解約に関する事務マニュアルに相当する 〇〇 を入手し 報告書に添付している 1 代表取締役社長に質問し 以下の回答を得た 2 利用者との契約書を閲覧し 第〇条に分別管理の執行方法 ( 第三者において管理する場合を含む ) についての記載があることを確かめた 3 〇〇より 利用者との契約書を入手し 報告書に添付している 1 社内検査責任者に 社内検査の対象及び期間について質問し 以下の回答を得た 2 社内検査報告を閲覧し 平成〇年〇月 日に〇〇に対する社内検査が実施されていることを確かめた 3 社内検査マニュアル を入手し 報告書に添付している - 13 -
5. 代表取締役への報告体制について 1 分別管理に関する社内規程を閲 1 分別管理に関する社内規程を閲覧し 覧し 代表取締役社長への報告に第〇条〇項に代表取締役社長への報告関する規定があることを確かめる に関する規定があることを確かめた 2 〇〇に 直近の代表取締役への 2 〇〇に対して直近の報告状況につい報告状況について質問する て質問し 以下の回答を得た 3 直近の代表取締役社長への報告 3 直近の報告書を入手し 添付してい書を入手し 添付する る 6. 法令違反への対応 1 代表取締役社長に 分別管理に代表取締役社長に質問し 以下の回答関する法令違反が発見された場合を得た の対応方針について質問する 2 代表取締役社長に直近 1 年間における分別管理に関する法令違反の有無を質問し 有る場合には その後の措置を質問する 7. 金融庁の検査等の指摘事項及び指摘事項への対応について次の手続を行う 1 代表取締役社長に 金融庁の検査等において指摘された事項及び代表取締役社長に質問し 以下の回答当該指摘事項に対する対応状況にを得た ついて質問する 2 代表取締役社長に 対応について関係者へいかに周知徹底が図られているかについて質問する 8. 利用者勘定元帳及び仮想通貨管理明細簿を適切に作成しているかについて 次の手続を行う 1 〇〇に 利用者勘定元帳及び仮想 1 〇〇に質問し 以下の回答を得た 通貨管理明細簿 各営業日における 管理する利用者の金銭の額及び仮想通貨の数量の記録 ( 内閣府令第 26 条第 1 項第 3 号及び第 4 号 ) の作成方法について 質問する 2 平成〇年〇月 日の1 利用者の取 2 平成〇年〇月 日の1 利用者の取引 - 14 -
引記録のデータを入手し 利用者勘定元帳及び仮想通貨管理明細簿が正確に記帳されていることを確かめる 9. 契約締結時交付書面 ( 取引報告書 ) 及び取引残高報告書を適切に作成し 利用者に送付しているかについて 次の手続を行う 1 〇〇に 利用者の全ての取引及び残高について 取引報告書及び取引残高報告書が正確に作成されているかについて質問する 2 〇〇に 取引報告書については取引の都度 取引残高報告書については定期的に利用者に交付しているか その公布方法について質問する 3 平成〇年〇月 日の取引報告書及び取引残高報告書を入手し 1 利用者の利用者勘定元帳の情報が記載されていることを確かめる 4 〇〇に 取引報告書及び取引残高報告書に対する利用者の返答及び苦情等の管理簿は適切に作成されているかについて質問する 5 取引報告書並びに取引残高報告書に対する利用者の返答及び苦情等の管理簿を通査し 不一致等の申出がある場合は その対応状況について〇〇に質問する 記録のデータを入手し 利用者勘定元帳及び仮想通貨管理明細簿が正確に記帳されていることを確かめた 1 〇〇に質問し 以下の回答を得た 2 〇〇に質問し 以下の回答を得た 3 平成〇年〇月 日の取引報告書及び取引残高報告書を入手し 1 利用者の利用者勘定元帳の情報が記載されていることを確かめた 4 〇〇に質問し 以下の回答を得た 5 取引報告書並びに取引残高報告書に対する利用者の返答及び苦情等の管理簿を通査し 不一致等の申出がある場合の対応状況について 〇〇より 回答を得た 2. 金銭の分別管理 ( 全般的事項 ) 合意された手続 1. 基準日直前の計算基準日 ( 平成〇年〇月 日 ) の基礎シートを入手し 計算調べを行い 以下の手続により 利用者区分管理必要額 ( 内閣府令第 21 条 手続結果及び発見事項平成〇年〇月 日の基礎シートを入手し 報告書に添付するとともに 以下の手続を実施した - 15 -
第 1 項第 5 号における個別利用者区分管理金額の合計額をいう 以下 必要額 という ) が正確に計算されていることを確かめる 1 必要額と利用者からの預り金の勘定残高と突合する 差異が生じている場合には その内容及び分別管理すべき金額が必要額に含まれていることを 〇〇に質問する 2 利用者からの預り金の勘定残高と 利用者勘定元帳 ( 金銭 ) の残高データを入手し その合計金額を利用者からの預り金の勘定残高と突合する 差異が生じている場合には その内容及び分別管理すべき金額が必要額に含まれていることを 〇〇に質問する 3 〇〇に以下の事項を質問する 利用者から預かった金銭は全て必要額の計算に含まれているか また その内容 必要額の計算は1 円単位で行われているか 利用者ごとの預り金残高について 他の利用者のマイナス残高を控除して必要額を計算しているようなことはないか 当日入金処理すべき時限が社内規程等で明確に規定され 当該時限以内に入金が確認されたものは 当日の必要額の計算対象とされているか また 当日において 当該時限以降に入金が確認されたものについては 翌営業日の必要額の計算対象とされているか ( 内閣府令第 22 条 事務ガイドライン 1 必要額と利用者からの預り金の勘定残高を突合した結果 両者は一致した ( 又は 差異について 〇〇に質問し との回答を得た ) 2 利用者からの預り金の勘定残高と 利用者勘定元帳 ( 金銭 ) の残高データを入手し その合計金額を利用者からの預り金の勘定残高と突合した結果 両者は一致した ( 又は 差異について 〇〇に質問し との回答を得た ) 3 〇〇に質問し 以下の回答を得た - 16 -
( 第三分冊 : 金融会社関係 )16. 仮想通貨交換業者関係 ( 以下 ガイドライン という )Ⅱ-2-2-2-2(1)4) 預り金が外貨の場合であっても 必要額の計算対象とされ かつ 当該計算に用いる換算レートが社内規程等で定められているか 利用者より受入小切手やその他金銭と同一の性質を有するものを受け入れた場合 必要額の計算対象とされているか また その内容 会計処理ミス等による異常値は適切に補正されているかどうか 2. 基礎シートの区分管理預金の残高又は利用者区分管理信託金額と必要額を比較し 必要額を上回っていることを確かめる また 〇〇に 以下の事項を質問する 1 必要額を算定するための基礎シートは 毎営業日作成され かつ 毎営業日チェックされているか 2 必要額の計算基礎シートの保存方法について 〇〇に質問する 基礎シートの区分管理預金の残高又は利用者区分管理信託金額 円と必要額 円を比較し 必要額を上回っていることを確かめた また 〇〇に質問し 以下の回答を得た 3. 金銭の分別管理 ( 預金等による区分管理 ) 合意された手続手続結果及び発見事項 1. 利用者からの預り金を区分管理する〇〇に質問し 以下の回答を得た 預金口座 ( 以下 区分管理預金 とい う ) が自己の金銭を管理する他の預金口座と区分されて開設されているかについて 〇〇に質問する 2. 区分管理預金の預入 払出について 〇〇に質問し 以下の回答を得た 手続の詳細や職務分掌 ( 区分管理預金 の預入 払出を行う者は管理部門に限 - 17 -
定するなど ) を含め具体的に定められているか 〇〇に質問する また 基準日までの期間に係る預入 払出について 以下の手続を実施する 前営業日の残高を区分管理預金勘定残高と突合する 預入 払出について 銀行への指示書や当座照合表等と突合する 預入 払出について加減算した金額が 預入日 払出日の区分管理預金勘定残高と一致していることを確かめる 3. 基準日時点の残高確認書を直接入手し 区分管理預金の残高と一致することを確かめる また 〇〇に 以下の事項を質問する 1 区分管理預金の残高の照合について 手続の詳細や職務分掌 ( 残高照合担当者と預入 払出を行う者を区別するなど ) を含め具体的に定められているか 2 区分管理預金の口座残高と帳簿残高について 毎営業日照合が行われているか ( ガイドラインⅡ- 2-2-2-2(1)4) 3 不一致が生じている場合には その原因分析が行われているか 4 不一致の発生原因が究明できない場合には 速やかに代表取締役とともに 内部監査部門へ報告しているか 4. 基礎シートに記載された預金金額について 計算調べを行い 以下の手続を実施する 1 区分管理預金の勘定残高と突合する 平成〇年〇月 日の預入 平成〇年〇月 日の払出について 以下の手続を実施した 前営業日の残高 円が区分管理預金勘定残高と一致した 預入 円 ( 払出 円 ) について と一致した 預入 円 ( 払出 円 ) について加 ( 減 ) 算した金額 円が 平成〇年〇月 日の区分管理預金勘定残高と一致した 基準日時点の残高確認書を直接入手し 区分管理預金の残高と一致した また 〇〇に質問し 以下の回答を得た 基礎シートに記載された預金金額について 計算調べを行い 以下の手続を実施した 1 基礎シートに記載された預金金額について 区分管理預金の勘定残高 - 18 -
2 毎営業日 区分管理預金の口座残高を必要額と比較し 不足額がある場合には その翌日から起算して 2 営業日以内に その不足額に相当する金銭が口座に入金されているかについて 〇〇に質問する ( ガイドラインⅡ-2-2-2-2(1)4) 円と一致した 2 〇〇に質問し 以下の回答を得た 4. 金銭の分別管理 ( 利用者区分管理信託 ) 合意された手続手続結果及び発見事項 1. 利用者区分管理信託の契約書を入手利用者区分管理信託契約書を入手し 実し 以下の手続を実施する 施した手続結果は以下のとおりである 1 仮想通貨交換業者が委託者 信 1 第〇条において 仮想通貨交換業託業務を営む金融機関等が受託者が委託者 信託業務を営む金融機者 仮想通貨交換業者の利用者が関等が受託者 仮想通貨交換業者の元本の受益者とされていることを利用者が元本の受益者とされている確かめる ことを確かめた 2 仮想通貨交換業者において受益 2 第〇条において 仮想通貨交換業者代理人が定められていることを者において受益者代理人が定められ確かめる ていることを確かめた 3 受益者代理人は 社内の場合は 3 第〇条において 受益者代理人は 法令遵守を所管する代表取締役社弁護士が選任されていることを確か長が 社外の場合は弁護士等からめた 選任されていることを確かめる 4 仮想通貨交換業者が信託契約を複 4 仮想通貨交換業者が信託契約を数の受託者と契約する場合には こ複数の受託者と契約する場合には れらの契約に係る受益者代理人が同これらの契約に係る受益者代理人が一人とされていることを確かめる 同一人とされていることを確かめた 5 仮想通貨交換業者が 内閣府令 5 第〇条において 仮想通貨交換業第 21 条第 1 項第 4 号に該当した者が 内閣府令第 21 条第 1 項第 4 ときは 原則として弁護士等であ号に該当したときは 原則として弁る受益者代理人のみがその権限を護士等である受益者代理人のみがそ行使することとされていることをの権限を行使することとされている確かめる ことを確かめた 6 自社の商号 ( 名称 ) 代表者 6 自社の商号 ( 名称 ) 代表者 住 - 19 -
住所 届出印鑑及び受益者代理人の住所 氏名 届出印鑑等に変更のあるときは 信託銀行等に所定の手続がとられているかについて 〇〇に質問し 変更契約書等を入手する 7 利用者区分管理信託を委託している契約先の信託銀行に変更があった場合 既に契約している契約の解約と新たな信託銀行との契約は 利用者区分管理信託に切れ目が生じることがないように行われているかについて〇〇に質問し 変更前及び変更後の契約書を入手し 日付に切れ目が生じていないことを確かめる 2. 以下の手続により 利用者区分管理信託の運用が 内閣府令に基づき適切に行われているかについて確かめる 1 利用者区分管理信託の契約書を閲覧し 利用者区分管理信託は金銭の信託で元本補填の契約となっていることを確かめる 2 信託銀行からの運用報告書等を入手し 信託財産たる金融商品の評価額が時価となっていることを確かめる 3 元本補填契約付きの合同運用指定金銭信託で運用しており 信託元本の金額がそのまま評価額となっていることを確かめる 3. 利用者区分管理信託の追加 解約又は一部解約について 〇〇に以下の事項を質問する 1 利用者区分管理信託の追加 解約又は一部解約について 手続の詳細 所 届出印鑑及び受益者代理人の住所 氏名 届出印鑑等に変更のあるときは 信託銀行等に所定の手続がとられているかについて 〇〇に質問し 変更契約書等を入手し 報告書に添付した 7 利用者区分管理信託を委託している契約先の信託銀行に変更があった場合 既に契約している契約の解約と新たな信託銀行との契約は 利用者区分管理信託に切れ目が生じることがないように行われているかについて〇〇に質問し 変更前及び変更後の契約書を入手し 日付に切れ目が生じていないことを確かめた なお 変更前及び変更後の契約書は 報告書に添付している 1 契約書第〇条において 利用者区分管理信託は金銭の信託で元本補填の契約となっていることを確かめた 2 平成〇年〇月 日の運用報告書等において 信託財産たる金融商品の評価額が時価となっていることを確かめた 3 元本補填契約付きの合同運用指定金銭信託で運用しており 信託元本の金額 円がそのまま評価額となっていることを確かめた 1 〇〇に質問し 以下の回答を得た - 20 -
や職務分掌 ( 信託の追加 解約等を行う者は管理部門に限定するなど ) を含め具体的に定められているか 2 基準日までの期間に係る追加 解約について 以下の手続を実施する 前営業日の残高を利用者区分管理信託勘定残高と突合する 追加 解約について 信託銀行への指示書や当座照合表等と突合する 追加 解約について加減算した金額が 追加日 解約日の利用者区分管理信託勘定残高と一致していることを確かめる 3 解約又は一部解約の場合には 以下のいずれかの条件が満たされているか イ信託財産の元本の評価額が必要額を超過する場合に その超過額の範囲内で信託契約の解約又は一部解約を行う ロ利用者区分管理信託の管理を他の信託契約に変更するために信託契約の解約又は一部解約を行う 4 利用者区分管理信託の信託不足又は不適切な解約はないか あった場合には 必要適切な措置が講じられたか 4. 基準日時点の残高確認書を直接入手し 信託財産の元本の評価額が利用者区分管理信託の金額と一致することを確かめる また 〇〇に 以下の事項を質問する 1 利用者区分管理信託の残高の照合について 手続の詳細や職務分掌 ( 残高照合担当者と追加 解約 2 平成〇年〇月 日の追加 平成〇年〇月 日の解約について 以下の手続を実施した 前営業日の残高 円が利用者区分管理信託勘定残高と一致した 追加 円 ( 解約 円 ) について と一致した 追加 円 ( 解約 円 ) について加 ( 減 ) 算した金額 円が 平成〇年〇月 日の利用者区分管理信託勘定残高と一致した 3 〇〇に質問し 以下の回答を得た 4 〇〇に質問し 以下の回答を得た 基準日時点の残高確認書を直接入手し 信託財産の元本の評価額 円が利用者区分管理信託の金額と一致した また 〇〇に質問し 以下の回答を得た - 21 -
を行う者を区別するなど ) を含め具体的に定められているか 2 定期的な残高照合が行われているか 3 信託の追加 解約に関する指図が誤っていないか確認しているか 4 不一致が生じている場合には その原因分析が行われているか 5 管理者は 不一致の発生原因が究明できない場合には 速やかに代表取締役とともに 内部監査部門へ報告しているか 5. 基礎シートに記載された区分管理信託金額について 計算調べを行い 以下の手続を実施する 1 利用者区分管理信託の勘定残高と突合する 2 毎営業日 信託財産の元本の評価額の合計額を必要額と比較し 不足額がある場合には その翌日から起算して2 営業日以内に その不足額に相当する金銭が口座に入金されているかについて 〇〇に質問する ( 内閣府令第 21 条第 1 項第 5 号 第 22 条 ) 基礎シートに記載された区分管理信託金額について 計算調べを行い 以下の手続を実施した 1 基礎シートに記載された利用者区分管理信託の勘定残高 円と一致した 2 〇〇に質問し 以下の回答を得た 5. 仮想通貨の分別管理合意された手続 1. 分別管理している仮想通貨の内容について 〇〇に質問する 2. 自己で管理する仮想通貨に関して 以下の手続を実施する 1 分別管理に関する社内規程において 自己で管理する仮想通貨に関する管理方法が定められている 手続結果及び発見事項〇〇に質問し 以下の回答を得た 1 分別管理に関する社内規程を閲覧し 第〇条に〇〇の記載があることを確かめた - 22 -
ことを確かめる 2 自己で管理する場合 自己のウォレットと区別した利用者用のウォレットで 利用者ごとの持分がデータ上直ちに判別できる状態で管理されているかについて 〇〇に質問する 3. 第三者をして管理させる仮想通貨について 以下の手続を実施する 1 分別管理に関する社内規程において 第三者をして管理させる仮想通貨に関する管理方法が定められていることを確かめる 2 第三者をして管理させる場合 自己のウォレットと区別した利用者用のウォレットで 利用者ごとの持分が第三者のデータ ( 利用者勘定元帳等 ) 上直ちに判別できる状態で管理させているかを確認しているかについて 〇〇に質問する 3 ガイドラインⅡ-2-2-2-2(1)8において 利用者の仮想通貨の管理を第三者に委託する場合に確認すべき内容をどのように確認しているか また その確認内容を質問する 4. 利用者仮想通貨の受払について 〇〇に質問する 1 自己で管理している利用者仮想通貨の受払に係る手続を社内規程で定めているか 2 社内規程に基づき 利用者仮想通貨の受払時に 適切な承認がなされているか 3 会社のアドレスとその他の者のアドレスの間の移動 アドレスの 2 〇〇に質問し 以下の回答を得た 1 分別管理に関する社内規程を閲覧し 第〇条に〇〇の記載があることを確かめた 2 〇〇に質問し 以下の回答を得た 3 〇〇に質問し 以下の回答を得た 〇〇に質問し 以下の回答を得た - 23 -
変更は伴わない顧客アカウント内の移動のそれぞれについて 利用者ごとの持分がデータに反映される仕組みとなっているか 4 第三者をして管理させる利用者仮想通貨について 第三者アドレスからその他のアドレスに仮想通貨が移動した際 ブロックチェーン等のネットワーク上の移動後の残高と社内における利用者ごとの持分に係るデータ等の確認が その都度行われているか 5. 平成〇年〇月 日 ( 基準日 ) 時点の利用者勘定元帳 ( 仮想通貨 ) の残高データを入手し その合計残高とブロックチェーン等の残高の一致を確かめる また 利用者勘定元帳の残高とブロックチェーン等の残高との照合について 〇〇に質問する 1 所管部署及び職務権限等を社内規程等で明確にした上で 残高照合に必要十分な対応が図れるよう社内規程又は事務マニュアルを整備し実施するなど 残高照合が適切に行われるための措置が講じられているか 2 毎営業日残高照合が行われているか ( ガイドラインⅡ-2-2- 2-2(1)3) 3 残高照合を行う場合において 仮想通貨の受払に関する記録を担当する者と残高照合担当者は別の者が担当しているか 4 自己で管理されている全てのアドレスについて 残高照合が行わ ( 一致している場合 ) 平成〇年〇月 日時点の利用者勘定元帳 ( 仮想通貨 ) の残高データを入手し ブロックチェーン等の残高 と突合し 両者は一致した また 〇〇に質問し 以下の回答を得た ( 不一致が生じている場合 ) 平成〇年〇月 日時点の利用者勘定元帳 ( 仮想通貨 ) の残高データを入手し ブロックチェーン等の残高 の金額を確かめたところ 利用者勘定元帳に の過小 ( 又は過大 ) が生じていた 〇〇に質問し その過小 ( 又は過大 ) の内容について以下の回答を得た ( 例えば 不一致の理由として ブロックチェーン等のネットワークへのデータ反映と 社内システム上のデータ反映のタイムラグなどがある ) また 〇〇に質問し 以下の回答を得た - 24 -
れているか 5 定期的に残高照合担当者は交代しているか 6. 利用者仮想通貨の残高に不一致が生じた場合について 〇〇に質問する 1 不一致の内容について また その原因等を究明しているか 2 不一致の原因等が究明され 利用者仮想通貨の不足が認められた場合 5 営業日以内に不一致を解消しているか ( ガイドラインⅡ- 2-2-2-2(1)3) 3 不一致の原因等が究明できない場合 速やかに代表取締役への報告が行われているか 7. 平成〇年〇月 日 ( 基準日 ) 時点の利用者勘定元帳の残高資料を入手し 第三者から直接入手した残高確認書の金額との一致を確かめる 不一致が生じている場合は その内容について質問する また 第三者をして管理させる仮想通貨について 〇〇に質問する 1 利用者勘定元帳の残高について 当該第三者の残高証明と定期的に照合されているか 2 照合差異が生じた場合 その事由が合理的なものか確認しているか 3 照合差異の事由を確認した結果 利用者仮想通貨の残高に不一致が生じた場合 その原因等を究明しているか 4 不一致の原因等が究明され 利用者仮想通貨の不足が認められた場合 5 営業日以内に不一致を解 〇〇に質問し 以下の回答を得た ( 一致している場合 ) 平成〇年〇月 日時点の利用者勘定元帳の残高資料を入手し 第三者から直接入手した残高確認書の金額を確かめたところ 一致した また 〇〇に質問し 以下の回答を得た ( 不一致が生じている場合 ) 平成〇年〇月 日時点の利用者勘定元帳の残高資料を入手し 第三者から直接入手した残高確認書の金額を確かめたところ 利用者勘定元帳に の過小 ( 又は過大 ) が生じていた 〇〇に質問し その過小 ( 又は過大 ) の内容について以下の回答を得た また 〇〇に質問し 以下の回答を得た - 25 -
消しているか ( ガイドラインⅡ- 2-2-2-2(1)3) 5 不一致の原因等が究明できない場合 速やかに代表取締役への報告が行われているか 8. 利用者仮想通貨のセキュリティについて 〇〇に以下の事項を質問する 1 ホットウォレットのサイバー セキュリティリスクに対応するための社内規程が整備されているか コールドウォレットの暗号鍵等情報の保管方法及び暗号鍵等情報の出力方法について 社内規程が定められているか 2 コールドウォレットの暗号鍵等情報は ネットワークと遮断され かつ 社内規程に定められた適切な権限者以外が物理的にアクセスできない方法で保管されているか 3 コールドウォレットの暗号鍵等情報の権限のない人によるアクセスや盗難を防止するため 防犯組織を整備し防犯責任者を明確にしているか 4 コールドウォレットの暗号鍵等情報の防災責任者を配置する等十分な防災対策がとられているか 〇〇に質問し 以下の回答を得た 6.ITに係る全般的事項合意された手続 1. システムリスク管理の基本方針を入手し 報告書に添付する 2. システムリスクの評価に関して 〇〇に以下の事項を質問する 1 システムリスク管理の基本方針に従い システムリスク評価が定期的 手続結果及び発見事項〇〇より システムリスク管理の基本方針を入手し 報告書に添付している 1 〇〇に質問し 以下の回答を得た - 26 -
又は適時に実施されているか 2 を閲覧し システムリスク評価が定期的又は適時に実施されていることを確かめる 3. システムリスク管理の基本方針の見直しの状況に関して に以下の事項を質問する 1 システムリスク管理の基本方針を適時に見直しているか 2 を閲覧し システムリスク管理の基本方針が適時に見直されていることを確かめる 2 を閲覧し 以下の事項を確かめた 1 〇〇に質問し 以下の回答を得た 2 を閲覧し 以下の事項を確かめた 7. 分別管理に係るIT 全般統制 (1) アクセス セキュリティ合意された手続 1. 職務権限規程 職務分掌規程及びセキュリティに関する社内規程を入手し 報告書に添付する 2. 社内システムのユーザー ID の登録 変更に関して 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 社内システムのユーザー IDの登録 変更に係る手続が定められているか 2 適切な承認の下 社内システムのユーザー ID の登録 変更が行われているか 3 登録 変更されたユーザー ID に関し 業務上の権限とシステム上の権限とが整合しているか (2) を閲覧し 以下の事項を確かめる 1 社内システムのユーザー IDの登録 変更に係る手続が定められていること 手続結果及び発見事項〇〇より セキュリティに関する社内規程を入手し 報告書に添付している 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた - 27 -
2 社内システムのユーザー IDの登録 変更が適切な承認の下 実施されていること 3 登録 変更されたユーザー ID のシステム上の権限が 業務上の権限と整合していること 3. 社内システムのユーザー ID の削除に関して 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 社内システムのユーザー IDの削除に係る手続が定められているか 2 削除事由の生じたユーザー ID が適時に削除されていること又は無効になっているか (2) を閲覧し 以下の事項を確かめる 1 社内システムのユーザー IDの削除に係る手続が定められていること 2 削除事由の生じたユーザー ID が適時に削除されていること又は無効となっていること 4. 社内システムのユーザー ID のパスワードに関して 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 パスワードの設定 運用に係る手続が実態に即して定められているか 2 セキュリティ規程に沿ったパスワードポリシーが実装されているか (2) を閲覧し 以下の事項を確かめる 1 セキュリティ規程にパスワードの設定 運用に係る手続が定められていること 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた - 28 -
2 社内システムに1の内容に沿ったパスワードポリシーが実装されていること 5. ユーザー IDの棚卸しの状況に関して 以下の手続を実施した (1) 〇〇に以下の事項を質問する 1 社内システムのユーザー IDの棚卸しに係る手続が定められているか 2 定期的にユーザー ID の棚卸しが実施され 未使用 ID 権限相違の ID がないか調査されているか 3 不適切な ID が発見された場合 適切にフォローアップされているか (2) を閲覧し 以下の事項を確かめる 1 社内システムのユーザー IDの棚卸しに係る手続が定められていること 2 定期的にユーザー ID の棚卸しが実施され 未使用 ID 権限相違の ID がないか調査されていること 3 不適切な ID が発見された場合 適切にフォローアップされていること 6. システム特権 ID について 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 システム特権 ID の登録 変更に係る手続が定められているか 2 システム特権 ID の登録 変更が適切な承認の下 実施されているか 3 システム特権 ID を共用している場合 その使用又は貸出管 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た - 29 -
理が適切に行われているか また その利用に関し 事後的なモニタリングが行われているか (2) を閲覧し 以下の事項を確かめる 1 システム特権 ID の登録 変更に係る手続が定められていること 2 システム特権 ID の登録 変更が適切な承認の下 実施されていること 3 システム特権 ID を共用している場合 その使用又は貸出管理が適切に行われていること また その利用に関し 事後的なモニタリングが行われていること 7. システム特権 ID に関して 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 システム特権 ID の削除に係る手続が定められているか 2 削除事由の生じたシステム特権 ID が適時に削除されているか 又は無効化されているか (2) を閲覧し 以下の事項を確かめる 1 システム特権 ID の削除に係る手続が定められていること 2 削除事由の生じたシステム特権 ID が適時に削除されていること又は無効化されていること 8. システム特権 ID の棚卸しの実施に関して 以下の手続を実施する (1) 証跡を入手し 〇〇に以下の事項を質問する 1 システム特権 ID の棚卸しに係る手続が定められているか を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た - 30 -
2 定期的にシステム特権 ID の棚卸しが実施され 未使用 ID 権限相違の ID がないか調査されているか 3 不適切な ID が発見された場合 適切にフォローアップされているか (2) を閲覧し 以下の事項を確かめる 1 システム特権 ID の棚卸しに係る手続が定められていること 2 定期的にシステム特権 ID の棚卸しが実施され 未使用 ID 権限相違の ID がないか調査されていること 3 不適切な ID が発見された場合 適切にフォローアップされていること 9. 社内システム上管理されているデータのアプリケーションによる処理を介さずに行う直接修正について 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 データの直接修正に係る手続が定められているか 2 適切な承認の下 データの直接修正が行われているか 3 データの修正が意図したとおりに行われたことについて確認が行われているか (2) を閲覧し 以下の事項を確かめる 1 データの直接修正に係る手続が定められていること 2 データの直接修正が適切な承認の下 実施されていること を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた - 31 -
3 データの修正が意図したとお りに行われたことについて確認 が行われていること (2) 開発 変更合意された手続 1. 開発管理規程を入手し 報告書に添付する 2. 新規システム導入 プログラム変更等について 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 新規システム導入 プログラム変更等に係る手続が定められているか 2 利用者部門 システム管理責任者及び経営者などによる導入要件等の検討が行われた上で 当該プロジェクトの実施が承認されているか (2) を閲覧し 以下の事項を確かめる 1 新規システム導入 プログラム変更等に係る手続が定められていること 2 新規システム導入 プログラム変更等が 利用者部門 システム管理責任者及び経営者などによる検討が行われた上で 当該プロジェクトの実施が承認されていること 3. 新規システム導入 プログラム変更等に関して 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 システム導入 プログラム変更に関するテスト手続が定められているか 手続結果及び発見事項〇〇より 開発管理規程を入手し 報告書に添付している 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た - 32 -
2 本番環境へのリリース前にシステム導入 プログラム変更に関するテストが行われ 適切な管理者により承認されているか (2) を閲覧し 以下の事項を確かめる 1 システム導入 プログラム変更に関するテスト手続が定められていること 2 本番環境へのリリース前にシステム導入 プログラム変更に関するテストが行われ 適切な管理者により承認されていること 4. 新規システム導入 プログラム変更等に関して 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 システム導入 プログラム変更の本番環境への反映に係る手続が定められているか 2 システム導入 プログラム変更の本番環境への反映の決定に関し 本番環境反映前に利用者 ( ユーザー ) 部門責任者 システム管理責任者 経営者などにより承認されているか 3 2で承認されたシステム導入 プログラム変更が本番環境に反映されているか (2) を閲覧し 以下の事項を確かめる 1 システム導入 プログラム変更の本番環境への反映に係る手続が定められていること 2 システム導入 プログラム変更の本番環境への反映の決定に関し 本番環境反映前に利用者 を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた - 33 -
( ユーザー ) 部門責任者 システム管理責任者 経営者などにより承認されていること 3 2で承認されたシステム導入 プログラム変更が本番環境に反映されていること 5. ジョブスケジューリングの変更 ( 新規登録 削除を含む ) に関して 以下の手続を実施する (1) 以下の事項を〇〇に質問する 1 スケジューラに組み込まれたバッチジョブ等 ( インターフェースジョブを含む ) の変更に係る手続が定められているか 2 スケジューラに組み込まれたバッチジョブ等 ( インターフェースジョブを含む ) の変更に関し 適切な管理者が承認しているか (2) を閲覧し 以下の事項を確かめる 1 スケジューラに組み込まれたバッチジョブ等 ( インターフェースジョブを含む ) の変更に係る手続が定められていること 2 ジョブスケジューリングの変更 ( 新規登録 削除を含む ) が 適切な管理者による承認の下 実施されていること 6. 開発環境と本番環境の分離に関して 以下の手続を実施する (1) 以下の事項を〇〇に質問する 1 開発環境と本番環境は 適切な方法で分離されているか 2 本番環境に変更を加える行為が制限され 本番環境への変更権限が開発部門と分離されているか 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た - 34 -
(2) を閲覧し 以下の事項を確かめる 1 開発環境と本番環境が適切な方法で分離されていること 2 本番環境に変更を加える行為が制限され 本番環境への変更権限が開発部門と分離されていること を閲覧し 以下の事項を確かめた (3) システムの運用合意された手続 1. 運用管理規程を入手し 報告書に添付する 2. システム障害対応に関して 以下の手続を実施する (1) 以下の事項を〇〇に質問する 1 発生した障害に対する対応手続が定められているか 2 発生した障害が定められた関係者に連絡され 適切な対応がとられているか (2) を閲覧し 以下の事項を確かめる 1 発生した障害に対する対応手続が定められていること 2 発生した障害が定められた関係者に連絡され 適切な対応がとられていること 3. 管理対象のデータのバックアップに関して 以下の手続を実施する (1) 以下の事項を〇〇に質問する 1 管理対象のデータのバックアップ手続及び保管場所が定められているか 2 管理対象のデータがあらかじめ定められた頻度 スケジュー 手続結果及び発見事項〇〇より 運用管理規程を入手し 報告書に添付している 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た - 35 -
ルに従って定期的にバックアップされ 安全な場所に保管されているか (2) を閲覧し 以下の事項を確かめる 1 管理対象のデータのバックアップ手続及び保管場所が定められていること 2 管理対象のデータがあらかじめ定められた頻度 スケジュールに従って定期的にバックアップされ 安全な場所に保管されていること 4. サーバーの設置場所に対する物理的なアクセス制限に関して 以下の手続を実施する (1) に以下の事項を質問する 1 サーバーの設置場所及び当該設置場所への物理的なアクセス制限に関する手法及び手続が定められているか 2 サーバーの設置場所に対する物理アクセスが適切な管理者により承認されているか (2) を閲覧し 以下の事項を確かめる 1 サーバーの設置場所及び当該設置場所への物理的なアクセス制限に関する手法及び手続が定められていること 2 サーバーの設置場所に対する物理アクセスが適切な管理者により承認されていること (3) を観察し サーバーの設置場所に対する物理的なアクセス制限が実施されていることを確かめる を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた を観察し 以下の事項を確かめた - 36 -
5. 社内システムのセキュリティ対策に関して 以下の手続を実施する (1) に以下の事項を質問する 1 各サーバーに対するアクセス記録が保存されているか 2 各サーバーに対するアクセスに不正なものがないか 検証が行われているか (2) を閲覧し 以下の事項を確かめる 1 各サーバーに対するアクセス記録が保存されていること 2 各サーバーに対するアクセスに不正なものがないか 検証が行われていること 6. 社内システムのセキュリティ対策に関して 以下の手続を実施する (1) に以下の事項を質問する 1 ネットワークの脆弱性診断が定期的に行われているか 2 脆弱性診断の結果 発見された問題点について 適切に対応がされているか (2) を閲覧し 以下の事項を確かめる 1 ネットワークの脆弱性診断が定期的に行われていること 2 脆弱性診断の結果 発見された問題点について 適切に対応がされていること 7. 社内システムのセキュリティ対策に関して 以下の手続を実施する (1) に以下の事項を質問する 1 侵入検知システム等が導入され 脅威の把握が適時にされているか 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た - 37 -
2 検知された脅威が調査分析されているか (2) を閲覧し 以下の事項を確かめる 1 侵入検知システム等が導入され 脅威の把握が適時にされていること 2 検知された脅威が調査分析されていること 8.BCP に関して 以下の手続を実施する (1) に以下の事項を質問する 1 BCP が策定されているか 2 BCP の見直しの基準が定められ 当該基準に従い見直しが行われているか (2) を閲覧し 以下の事項を確かめる 1 BCP が策定されていること 2 BCP の見直しの基準が定められていること また 当該基準に従い見直しが行われていること を閲覧し 以下の事項を確かめた 〇〇に質問し 以下の回答を得た を閲覧し 以下の事項を確かめた (4) その他合意された手続 1. 外部委託先の管理状況に関して 以下の手続を実施する (1) 〇〇に以下の事項を質問する 1 外部委託先のモニタリング方法が定められているか 2 定められた外部委託先のモニタリング方法に従い モニタリングが実施されているか 3 受託業務に係る SOC 報告書 ( 日本における監査 保証実務委員会実務指針第 86 号 受託 手続結果及び発見事項 〇〇に質問し 以下の回答を得た - 38 -
業務に係る内部統制の保証報告書 及びIT 委員会実務指針第 7 号 受託業務のセキュリティ 可用性 処理のインテグリティ 機密保持及びプライバシーに係る内部統制の保証報告書 に基づく保証報告書を含む ) を入手しているか (2) を閲覧し 以下の事項を確かめた 1 外部委託先のモニタリング方法が定められていること 2 定められた外部委託先のモニタリング方法に従い モニタリングが実施されていること 3 受託業務に係る SOC 報告書 ( 日本における監査 保証実務委員会実務指針第 86 号 受託業務に係る内部統制の保証報告書 及び I T 委員会実務指針第 7 号 受託業務のセキュリティ 可用性 処理のインテグリティ 機密保持及びプライバシーに係る内部統制の保証報告書 に基づく保証報告書を含む ) を入手し その内容を確認していること を閲覧し 以下の事項を確かめた 以 上 - 39 -
付録 2 確認書の記載例 以下の確認書の記載例には 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続業務について 業務実施者が業務依頼者から確認書を入手するに際し 通常 確認すると考えられる事項が含まれている なお この文例は状況に応じて適宜修正する 監査法人 社員公認会計士 殿 ( 注 1) 平成 年 月 日 株式会社 取締役社長 ( 記名押印 )( 注 2) 本確認書は 資金決済に関する法律 ( 以下 資金決済法 という ) 第 63 条の11 第 2 項に基づき 利用者財産の分別管理の状況 すなわち分別管理の法令遵守並びにその内部統制の整備及び運用の状況について 貴監査法人 ( 注 1) が手続実施結果を報告するに当たり提出するものです 私は 下記のとおりであることを確認します 記 1. 以下に掲げる関連法令 規則 ( 以下 法令等 という ) を遵守する責任は経営者にあることを承知しております 資金決済法第 63 条の11 第 1 項及び第 2 項 仮想通貨交換業者に関する内閣府令 事務ガイドライン ( 第三分冊 : 金融会社関係 )16. 仮想通貨交換業者関係 2. 利用者財産の分別管理を行う責任及び法令等遵守のために有効な内部統制を整備及び運用する責任は経営者にあることを承知しております 3. 当社は 法令等を遵守して利用者財産を分別管理していたことを確かめるため適切な手続を実施しました 4. 上記の手続を実施した結果 平成 年 月 日 ( 注 3) 現在において 当社が法令等を遵守して利用者財産を分別管理していたと判断しております 5. 貴監査法人 ( 注 1) が実施した合意された手続は 資金決済法第 63 条の11 第 2 項に関連して 日本公認会計士協会が公表した専門業務実務指針 4400 合意された手続業務に関する実務指針 及び専門業務実務指針 4461 仮想通貨交換業者における利用者 - 40 -
財産の分別管理に係る合意された手続業務に関する実務指針 に準拠したものであることを承知しております 6. 合意された手続実施結果報告書に記載されている手続実施結果は 当社が資金決済法第 63 条の11 第 2 項の規定を遵守するために限り利用されることを承知しております また 合意された手続実施結果報告書が当社以外に利用されるべきものではなく 当社及び合意された手続実施結果報告書を添付する利用者財産の管理に関する報告書 ( 資金決済法第 63 条の14 第 2 項 仮想通貨交換業者に関する内閣府令第 30 条第 2 項第 4 号 ) の提出先である規制当局以外に配布されるべきものではないことを承知しております ( 注 4) 7. 業務実施に影響を与える可能性のある不正 ( 不正の疑いがある場合を含む ) 及び違法行為又は未修正の誤謬に関する情報はありません 8. 貴監査法人 ( 注 1) から要請のあった合意された手続業務の実施に関する全ての情報を貴監査法人に提供いたしました 9. 利用者財産の分別管理の状況に重要な影響を及ぼす後発事象はありません 10. 様々な解釈をし得る法令等に基づく要求の解釈についての責任は 当社にあることを承知しております 11. 規制当局からの通告 指導等で業務の対象とする情報等又は合意された手続業務に影響を与える可能性のある全ての事項を貴監査法人 ( 注 1) に提供しております 12. 利用者財産の分別管理の状況に関連する記録 ( 会計記録を含む ) に 適切に記録していない重要な取引等はありません 13. 当社の従業員 元従業員 投資家 行政官庁等の規制当局若しくはその他の者から入手した利用者財産の分別管理の状況に影響する不正の申立て又は不正の疑いに関する情報はありません 14. 契約不履行の場合に利用者財産の分別管理の状況に重要な影響をもたらすような契約諸条項は 全て遵守しております 15. 以 上 ( 注 1) 1 本文例は 業務実施者が無限責任監査法人の場合を前提としている 業務実施者が有限責任監査法人の場合 業務契約において業務実施者が特定されている場合 又は監査法人の場合において報告書署名者に関する内規がある場合には これらに応じて代表社員の肩書を省略するなど 適宜必要な修正を行う 2 業務実施者が公認会計士の場合には以下とし 確認書本文中の 貴監査法人 を 貴殿 とする - 41 -
公認会計士事務所公認会計士 殿 ( 注 2) 責任者の肩書は 状況に応じて適宜 適切に修正する ( 注 3) 仮想通貨交換業者が分別管理の状況を確かめた基準日であり 合意された手続実施結果報告書の日と一致する ( 注 4) その他の実施結果の利用者が存在する場合には 適宜追加する - 42 -
付録 3 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続チェック項目 チェックのポイント 以下は 仮想通貨交換業者が自らの利用者財産の分別管理の状況を評価するに当たり 参考にするチェック項目及びチェックのポイントを例示している 必ずしも全ての状況を網羅するものではなく また 全ての状況に適用できることを意図したものではない したがって 個々の仮想通貨交換業者の状況に応じて利用されたい なお 金銭の分別管理については 仮想通貨交換業者に関する内閣府令 ( 以下 内閣府令 という ) 第 20 条により 預金等による区分管理又は内閣府令第 21 条の要件を満たす利用者区分管理信託のいずれかによることとされているため 以下のチェック項目及びチェックポイントの3 及び4は いずれかが該当することとなる 1. 全般的事項チェック項目チェックのポイント 1. 利用者財産の分別管理に関する法令 1 分別管理に関する法令遵守を所管する諸規則等 ( 資金決済に関する法律 ( 以下代表取締役は 関連法令 諸規則等の内 資金決済法 という ) 内閣府令 事容について理解し 遵守する体制を整備務ガイドライン16. 仮想通貨交換業者関しているか 係 ( 以下 ガイドライン という ) 等 ) 2 分別管理に関する法令遵守を所管するについて 理解しているか また 法令 代表取締役は 関連法令 諸規則等の内諸規則等の内容について伝達周知されて容 ( 改訂時の内容を含む ) について社いるか 内へ周知徹底させているか 2. 分別管理の社内規程 規則及び手続が 1 社内規程等が実態に即して整備されて明確化されており 適切に運用されていいるか るか 仮想通貨交換業者は 事務部門に 2 社内規程等において 金銭 仮想通貨おいて十分にけん制機能が発揮されるよそれぞれについて 分別管理の手続の詳うな体制整備を含む 事務リスクに係る細や職務分掌を含め具体的に定められて内部管理態勢を適切に整備することが要いるか 請されている ( ガイドラインⅡ-2-3 3 金銭 仮想通貨及び預金の預入 払出 -2-2) 信託の追加 解約において それぞれ担当部署において事務マニュアルなどが整備され そのとおり運用されているか 3. 分別管理の執行方法について 利用者金銭 仮想通貨それぞれについて 分別との契約に反映されているか 管理の執行方法が利用者との契約に反映されているか なお 国内外を問わず 第三者において管理する場合に契約に明記されており 利 - 43 -
チェック項目 4. 社内監査 検査が明確に規定されており 定期的に実施されているか 5. 分別管理に関する法令遵守を所管する代表取締役への報告体制は整備されているか 6. 利用者区分管理信託の不足 区分管理預金の残高不足 不適切な解約 仮想通貨の管理相違等異例事項があった場合 適切な措置が講じられる体制 ( ) ができているか チェックのポイント用者からの同意を得ているか 社内監査 検査マニュアルが作成されており 実際に社内監査 検査が実施されているか 分別管理に関する法令遵守を所管する代表取締役への報告体制について 社内規程等において明確にされているか また 社内監査 検査報告記録が残されているか 分別管理に関する法令違反が発見された場合の対応方針について規定されているか また 実際に法令違反が発見された場合に その対応措置を講じているか 異例事項の内容を把握した上で分別管 理の内部統制に与える影響を検討する体 制をいうものとする 7. 金融庁の検査等において指摘された事 金融庁の検査等において指摘された事項 項について 適切な措置が講じられてい に適切に対応しているか また 対応につ るか いて関係者へ周知徹底が図られているか 8. 利用者勘定元帳及び仮想通貨管理明細 利用者の全ての取引について 利用者ご 簿 各営業日における管理する利用者の とに作成される利用者勘定元帳の取引情報 金銭の額及び仮想通貨の数量の記録 ( 内 ( 利用者の氏名又は名称 仮想通貨の名称 閣府令第 26 条第 1 項第 3 号及び第 4 号 ) 自己 媒介 取次ぎ又は代理の別 売付け を適切に作成しているか 仮想通貨交換 買付け又は他の仮想通貨との交換の別 約 業に関する帳簿書類は 仮想通貨交換業 定年月日 仮想通貨の数量 約定価格又は 者の業務及び利用者財産の管理の状況を 単価及び金額 法定通貨の入出金及び差引 正確に反映させるとともに 分別管理監 残高 ) 及び仮想通貨管理明細簿の取引情報 査の結果に関する記録を行わせることに ( 受入れ又は払出しの別及びその年月日 より 利用者保護に資するため法令にそ 利用者の仮想通貨を管理する者の氏名又は の作成及び保存義務が規定されているも 名称 仮想通貨の名称 仮想通貨の数量 ) のである ( ガイドラインⅡ-2-2-3 として正確に記帳されているか -1) また 各営業日における管理する利用者 の金銭の額及び仮想通貨の数量の記録にお 利用者勘定元帳には 法定通貨の入出 いては 利用者の金銭の額及び仮想通貨の - 44 -
チェック項目金及び差引残高についても記載する なお 利用者勘定元帳を作成する前提として ブロックチェーン等のフロー情報から残高情報を作成 表示するシステム上のデータが存在することを想定している 9. 契約締結時交付書面 ( 取引報告書 ) 取引残高報告書及び取引残高報告書を適切に作成し 利用者に送付しているか また 利用者の返答及び苦情等の管理を適切に行っているか 仮想通貨交換業者は 利用者等からの申出に対して適切に対処していくことを要請されており かかる対処を可能とするための適切な内部管理体制を整備することが求められている ( ガイドラインⅡ -2-2-5-1) チェックのポイント数量の合計及び利用者別の金銭の額及び仮想通貨の数量が記録されているか 1 利用者の全ての取引及び残高について 取引報告書及び取引残高報告書が正確に作成されているか 2 取引報告書については取引の都度 取引残高報告書については定期的に利用者に交付しているか 3 取引報告書及び取引残高報告書に対する利用者の返答及び苦情等の管理簿は適切に作成されているか 4 取引報告書及び取引残高報告書に対する利用者の返答及び苦情等について報告 対応 解決しているか 特に 不一致等の申出について適切に対応しているか 2. 金銭の分別管理 ( 全般的事項 ) チェック項目 1. 利用者区分管理必要額 ( 内閣府令第 21 条第 1 項第 5 号における個別利用者区分管理金額の合計額をいう 以下 必要額 という ) は正確に計算されているか また 利用者からの預り金は 正確に計算されているか 利用者勘定元帳には 法定通貨の入出金及び差引残高が記載される必要がある 差金決済取引に係る預かり金銭は分別管理の対象とされていない ただし 預 チェックのポイント 1 必要額は 利用者ごとの預り金残高の合計額であり 利用者勘定元帳の合計額と一致しているか 利用者からの預り金の勘定残高と一致しているか なお 差異について調整が行われている場合には 分別管理すべき金額が必要額に含まれているか 2 利用者からの預り金の勘定残高と 利用者勘定元帳 ( 金銭 ) の残高データの合計金額は一致しているか なお 差異が生じている場合には 分別管理すべき金額が必要額に含まれているか - 45 -
チェック項目チェックのポイントかり金銭に関してはどの取引のための預 3 利用者から預かった金銭は全て必要額かり金銭かの区別をして管理はしていなの計算に含まれているか いため 本チェック項目においては 預 4 必要額の計算は1 円単位で行われていかり金銭は全て分別管理対象となることるか を前提としている 5 利用者ごとの預り金残高について 他の利用者のマイナス残高を控除して必要額を計算しているようなことはないか 6 当日入金処理すべき時限が社内規程等で明確に規定され 当該時限以内に入金が確認されたものは 当日の必要額の計算対象とされているか また 当日において 当該時限以降に入金が確認されたものについては 翌営業日の必要額の計算対象とされているか ( 内閣府令第 22 条 ガイドラインⅡ-2-2- 2-2(1) 4) 7 預り金が外貨の場合であっても 必要額の計算対象とされ かつ 当該計算に用いる換算レートが社内規程等で定められているか 8 利用者より受入小切手やその他金銭と同一の性質を有するものを受け入れた場合 必要額の計算対象とされているか 9 会計処理ミス等による異常値は 適切に補正されているか 2. 区分管理預金の残高又は利用者区分管 1 必要額を算定するための基礎シート理信託金額が必要額を上回っているか は 毎営業日作成され かつ 毎営業日チェックされているか 2 必要額の計算過程が保存されているか 3. 金銭の分別管理 ( 預金等による区分管理 ) チェック項目チェックのポイント 1. 利用者からの預り金は 自己の金銭を利用者からの預り金を区分管理する預金管理する他の預金口座と区分された預金等口座が自己の金銭を管理する他の預金口等口座 ( 以下 区分管理預金 という ) 座 ( 以下 区分管理預金 という ) と区 - 46 -
チェック項目において管理されているか 2. 区分管理預金の預入 払出について 手続が明確化されており 適切に運用されているか 3. 区分管理預金の残高の照合について 手続が明確化されており 適切に運用されているか 区分管理預金の口座残高と総勘定元帳上の預金残高の照合が適切に行われているか また 残高に不一致があった場合 適切な対応がとられているか 4. 毎営業日 利用者財産を区分管理している銀行等の口座残高が 必要額を上回るか確認し 下回る場合には 速やかに当該不足額が口座に入金されているかどうか ガイドラインⅡ-2-2-2-2(1) 4において 帳簿上の利用者財産の残高と 利用者区分管理口座残高を毎営業日照合し 不足が生じた場合は 2 営業日以内に解消することが望ましいとされている チェックのポイント分されて開設されているか 区分管理預金の預入 払出について 手続の詳細や職務分掌 ( 区分管理預金の預入 払出を行う担当者は管理部門に限定するなど ) を含め具体的に定められているか 1 区分管理預金の残高の照合について 手続の詳細や職務分掌 ( 残高照合担当者と預入 払出を行う担当者を区別するなど ) を含め具体的に定められているか 2 区分管理預金の口座残高と総勘定元帳上の預金残高について 毎営業日に照合が行われ また 銀行から送付される残高証明書との定期的な照合が行われているか 3 不一致が生じている場合には その原因分析が行われているか 4 管理者は 不一致の発生原因が究明できない場合には 速やかに分別管理に関する法令遵守を所管する代表取締役等とともに 内部監査部門へ報告しているか 毎営業日 区分管理預金の口座残高を必要額と比較し 不足額がある場合には その翌日から起算して2 営業日以内に その不足額に相当する額の金銭が口座に入金されているか ( ガイドラインⅡ-2-2-2-2(1)4) - 47 -
4. 金銭の分別管理 ( 利用者区分管理信託 ) チェック項目チェックのポイント 1. 仮想通貨交換業者を委託者とし 同社 1 仮想通貨交換業者が委託者 信託業務の利用者を元本の受益者として利用者区を営む金融機関等が受託者 仮想通貨交分管理信託に係る信託契約が締結されて換業者の利用者が元本の受益者とされているか いるか 2 仮想通貨交換業者において 受益者代理人が定められているか 3 受益者代理人は 社内の場合は法令遵守を所管する代表取締役が 社外の場合は弁護士等から選任されているか 4 仮想通貨交換業者が信託契約を複数の受託者と契約する場合には これらの契約に係る受益者代理人が同一人とされているか 5 仮想通貨交換業者が 内閣府令第 21 条第 1 項第 4 号に掲げる要件に該当したときは 原則として弁護士等である受益者代理人のみがその権限を行使することとされているか 6 自社の商号 ( 名称 ) 代表者 住所 届出印鑑及び受益者代理人の住所 氏名 届出印鑑等に変更のあるときは 信託銀行等に所定の手続がとられているか 7 利用者区分管理信託を委託している契約先の信託銀行に変更があった場合 既に契約している契約の解約と新たな信託銀行との契約は 利用者区分管理信託に切れ目が生じることがないように行われているか 2. 利用者区分管理信託の運用は 内閣府 1 利用者区分管理信託は 金銭の信託で令に基づき適切に行われているか 元本補填の契約のあるものに限る 2 信託財産たる金融商品の評価額は時価となっているか 3 元本補填契約付きの合同運用指定金 - 48 -
チェック項目 3. 利用者区分管理信託の追加 解約又は一部解約について 手続が明確化されており 適切に運用されているか 4. 利用者区分管理信託の残高の照合について 手続が明確化されており 適切に運用されているか 利用者区分管理信託の信託銀行の残高と総勘定元帳上の利用者区分管理信託の残高の照合が適切に行われているか また 残高に不一致があった場合 適切な対応がとられているか チェックのポイント銭信託で運用している場合 信託元本の金額がそのまま評価額となっているか 1 利用者区分管理信託の追加 解約又は一部解約について 手続の詳細や職務分掌 ( 信託の追加 解約等を行う担当者は管理部門に限定するなど ) を含め具体的に定められているか 2 利用者区分管理信託を解約又は一部解約する場合 以下のいずれかの条件が満たされているか イ信託財産の元本の評価額が必要額を超過する場合に その超過額の範囲内で信託契約の解約又は一部解約を行う ロ利用者区分管理信託の管理を他の信託契約に変更するために信託契約の解約又は一部解約を行う 3 利用者区分管理信託の信託不足又は不適切な解約はないか あった場合には 必要適切な措置が講じられたか 1 利用者区分管理信託の残高の照合について 手続の詳細や職務分掌 ( 残高照合担当者と追加 解約を行う担当者を区別するなど ) を含め具体的に定められているか 2 利用者区分管理信託額について 定期的な残高照合が行われているか 例えば 信託の追加設定の都度 信託銀行から送付される通知 ( 例 : 金銭信託お手続きご通知 ) の残高の照合 信託銀行から契約書に基づき定期的に交付される照合書類と総勘定元帳上の利用者区分管理信託残高の照合 3 利用者区分管理信託の追加 解約に関する指図が誤っていないか確認している - 49 -
チェック項目 5. 毎営業日 信託財産の元本の評価額の合計額が必要額を上回るか確認し 下回る場合には 速やかに信託財産が追加されているかどうか ( 内閣府令第 21 条第 1 項 第 5 項 ) 内閣府令第 21 条第 5 項において 信託財産の元本の評価額が利用者区分管理必要額に満たない場合は 2 営業日以内にその不足額に相当する金銭が信託財産に追加される旨が規定されている チェックのポイントか 4 不一致が生じている場合には その原因分析が行われているか 5 管理者は 不一致の発生原因が究明できない場合には 速やかに分別管理に関する法令遵守を所管する代表取締役等とともに 内部監査部門へ報告しているか 毎営業日 信託財産の元本の評価額の合計額を必要額と比較し 不足額がある場合には その翌日から起算して2 営業日以内に その不足額に相当する額の信託財産が追加されているか ( 内閣府令第 21 条第 1 項 第 5 項 ) 5. 仮想通貨の分別管理チェック項目チェックのポイント 1. 分別管理すべき利用者の仮想通貨は 利用者の仮想通貨は 全て分別管理の対適切に分別管理されているか 象となっているか 例えば イ売付けのために利用者から一時的に 差金決済取引に係る仮想通貨の現物は預かった仮想通貨 ( 委任契約による場分別管理の対象とされていない ただし 合 ) 預かり仮想通貨に関しては どの取引のロ寄託されている仮想通貨ための預かり仮想通貨か区別して管理しハ信用取引受入保証金の一部として受ていないため 本チェック項目においてけ入れた仮想通貨は 預かり仮想通貨は全て分別管理対象ニ仮想通貨を原資産とするデリバティとなることを前提としている ブ取引の受入証拠金の一部として受け入れた仮想通貨 2. 自己で管理する仮想通貨について 法利用者の仮想通貨と自己の固有財産であ令に定める方法により 適切に分別管理る仮想通貨とを明確に区分し かつ 当該されているか 利用者の仮想通貨についてどの利用者の仮 - 50 -
チェック項目 3. 自己で管理する仮想通貨の管理方法について 適切な社内対応が図られているか 4. 第三者をして管理させる仮想通貨について 法令に定める方法により 適切に分別管理されているか ガイドラインⅡ-2-2-2-2(1) 8において 利用者の仮想通貨の管理を第三者に委託する場合に確認すべき内容が記載されている 5. 第三者をして管理させる仮想通貨の管理方法について 適切な社内対応が図られているか ガイドラインⅡ-2-2-2-2(1) 8において 利用者の仮想通貨の管理を第三者に委託する場合に確認すべき内容が記載されている チェックのポイント想通貨であるかが直ちに判別できる状態で管理されているか 具体的には 自己のウォレットと区別した利用者用のウォレットで 利用者ごとの持分がデータ上直ちに判別できる状態で管理されているか 管理方法が社内規程等において手続の詳細や職務分掌を含め 具体的に定められているか 当該第三者において 利用者の仮想通貨と自己の固有財産である仮想通貨とを明確に区分させ かつ 当該利用者の仮想通貨についてどの利用者の仮想通貨であるかが直ちに判別できる状態で管理されているか 具体的には 第三者において自己のウォレットと区別した利用者用のウォレットで 委託者である仮想通貨交換業者の持分が第三者のデータ上直ちに判別できる状態で管理されているかを確認しているか 1 管理方法が社内規程等において 手続の詳細や職務分掌を含め具体的に定められているか 2 第三者の管理業務が 安全かつ確実に行われているかを確認するための社内対応が図られているか 例えば 格付けの確認による信用状況のチェックが行われているか 外部監査等により適正に管理業務が行われているかの検証がなされているかを確認し その検証結果又は証明書など 検証内容がある程度 確認できるものが入手されているか 第三者について 調査対象と対象外とする機関についての基準を社内規程等で整備し その規程どおりの社内対応が図られているか - 51 -
チェック項目チェックのポイント 6. 利用者仮想通貨の受払 ( 会社のアドレ 1 自己で管理している利用者仮想通貨のスとその他の者のアドレスの間の移動 受払に係る手続を社内規程で定めているアドレスの変更を伴わない利用者アカウか ント間の移動 ) 時の対応が適切か 2 社内規程に基づき 利用者仮想通貨の受払時に 適切な承認がなされているか 会社のアドレスとその他の者のアドレ 3 会社のアドレスとその他の者のアドレスの間の移動 利用者から仮想通貨の預スの間の移動 アドレスの変更は伴わな託を受ける場合 利用者仮想通貨を利用い利用者アカウント間の移動のそれぞれ者に返還する場合について 利用者ごとの持分がデータにアドレスの変更を伴わない利用者アカ反映される仕組みとなっているか ウント間の移動 利用者間の仮想通貨の 4 第三者をして管理させる利用者仮想通移動貨について 第三者アドレスからその他のアドレスに仮想通貨が移動した際 ブロックチェーン等のネットワーク上の移動後の残高と社内における利用者ごとの持分に係るデータ等の確認がその都度 行われているか 7. 自己で管理する仮想通貨について 利 1 所管部署及び職務権限等を社内規程用者勘定元帳の残高とブロックチェーン等で明確にした上で 残高照合に必要十等のネットワーク上の残高の照合 ( 以下分な対応が図れるよう社内規程又は事務 残高照合 という ) が適切に行われマニュアルを整備し実施するなど 残高ているか 照合が適切に行われるための措置が講じられているか 2 毎営業日残高照合が行われているか ( ガイドラインⅡ-2-2-2-2(1) 3) 3 残高照合を行う場合において 仮想通貨の受払に関する記録を担当する者と残高照合担当者は別の者が担当しているか 4 自己で管理している全てのアドレスについて 残高照合が行われているか 5 定期的に残高照合担当者は交代しているか 8. 自己で管理する仮想通貨において 残 1 残高照合において不一致が生じた場 - 52 -
チェック項目高照合の結果 利用者仮想通貨の残高に不一致が認められた場合 その原因等を究明し 適切な処置が図られているか ガイドラインⅡ-2-2-2-2(1) 3において 帳簿上の利用者財産の残高と ブロックチェーン等のネットワーク上の有高を毎営業日照合し 不足が生じた場合は 5 営業日以内に解消することが望ましいとされている 9. 第三者をして管理させる場合 利用者勘定元帳の残高と当該第三者の残高証明との照合が適切に行われているか ガイドラインⅡ-2-2-2-2(1) 8において 利用者の仮想通貨の管理を第三者に委託する場合に確認すべき内容が記載されている 10. 自己で管理する利用者仮想通貨のセキュリティが整備されているか チェックのポイント合 その原因等を究明しているか 例えば 不一致の理由として ブロックチェーン等のネットワークへのデータ反映と 社内システム上のデータ反映のタイムラグなどがある 2 不一致の原因等が究明され 利用者仮想通貨の不足が認められた場合 不足が生じた日の翌日から5 営業日以内に不一致を解消しているか ( ガイドラインⅡ- 2-2-2-2(1)3) 3 不一致の原因等が究明できない場合 速やかに法令遵守を所管する代表取締役への報告が行われているか 1 第三者をして管理させる仮想通貨について 利用者勘定元帳の残高と当該第三者の残高証明が定期的に照合されているか 2 照合した結果 利用者仮想通貨の帳簿等残高と第三者の残高とに差異があった場合 その事由が合理的なものか確認しているか 3 照合差異の事由を確認した結果 利用者仮想通貨の残高に不一致が認められた場合 速やかに照合不一致の原因等の究明がなされているか 4 不一致の原因等が究明され 利用者仮想通貨の不足が認められた場合 不足が生じた日の翌日から5 営業日以内に不一致を解消しているか ( ガイドラインⅡ- 2-2-2-2(1)3) 5 不一致の原因等が究明できない場合 速やかに法令遵守を所管する代表取締役への報告が行われているか 1 ホットウォレットのサイバー セキュリティリスクに対応するための社内規程 - 53 -
チェック項目 チェックのポイントが整備されているか コールドウォレットの暗号鍵等情報の保管方法及び暗号鍵等情報の出力方法について 社内規程が定められているか 2 コールドウォレットの暗号鍵等情報は ネットワークと遮断され かつ 社内規程に定められた適切な権限者以外が物理的にアクセスできない方法で保管されているか 3 コールドウォレットの暗号鍵等情報の盗難を防止するため 防犯組織を整備し防犯責任者を明確にしているか 4 コールドウォレットの暗号鍵等情報の防災責任者を配置する等十分な防災対策がとられているか 6.ITに係る全般的事項チェック項目 1. システムリスク管理の基本方針が定められているか チェックのポイント システムリスク管理の基本方針が 実態 に即して定められているか システムリスクについては ガイドラインⅡ-2-3-1-1の意義を参照する 2. システムリスク管理の基本方針に従い システムリスク評価を定期的又は適時に実施しているか 3. システムリスク管理の基本方針は 適時に見直しが行われているか システムリスク管理の基本方針に従い システムリスク評価の実施時期 頻度 実施方法等が定められ 実際にシステムリスク評価が実施されているか システムリスク管理の基本方針の見直しが必要に応じて行われ その結果が反映されているか 7. 分別管理に係る IT 全般統制 (1) アクセス セキュリティ チェック項目 チェックのポイント - 54 -
チェック項目 1. 経営者の承認を得た適切な職務権限規程 職務分掌規程及びセキュリティに関する規程が定められているか 2. 社内システムのユーザー ID の登録 変更は 利用者 ( ユーザー ) 部門責任者 システム管理責任者の承認を得た上で行われているか 承認に当たっては 業務上の権限とシステム上の権限設定とが整合していることを確かめているか 3. 社内システムのユーザー ID について 退職者 異動者のユーザー ID は 適時に削除されているか 4. 社内システムのユーザー ID に関するパスワードの設定 運用に係る手続が適切に規定されているか アプリケーション システムへのアクセスは ユーザー ID パスワード等による認証により制限されており パスワードは当該規定に基づいて適切に運用されているか チェックのポイント職務権限規程 職務分掌規程及びセキュリティ規程が実態に即して整備されているか 1 社内システムのユーザー ID の登録 変更に係る手続が定められているか 2 適切な承認の下 社内システムのユーザー ID の登録 変更が行われているか 3 登録 変更されたユーザー ID に関し 業務上の権限とシステム上の権限とが整合しているか 1 社内システムのユーザー IDの削除に係る手続が定められているか 2 削除事由の生じたユーザー IDが適時に削除されているか 又は無効となっているか 1 社内システムのパスワードの設定 運用に係る手続が 実態に即して定められているか 2 セキュリティ規程に沿ったパスワードポリシーが 社内システムに実装されているか 5. 定期的なユーザー ID の棚卸しとユーザー部門責任者による確認に係る手続が 適切に規定されているか 定期的に利用者 ( ユーザー ) 部門責任者がユーザー ID の棚卸しを行い 使用していない ID がないか システム上の権限と業務上の権限とが整合しているか確かめているか 6. システム特権 ( コンフィグ セキュアド用等 )ID は システム管理責任者等の適切な承認の下 付与されているか ま 1 社内システムのユーザー IDの棚卸しに係る手続が定められているか 2 定期的に社内システムのユーザー ID の棚卸しが実施され 未使用 ID 権限相違の ID がないか調査されているか 3 2の結果 不適切な ID が発見された場合 適切にフォローアップされているか 1 システム特権 ID の登録 変更に係る手続が定められているか 2 システム特権 ID の登録 変更が適切 - 55 -
チェック項目た 適切に制限されているか 7. 不要なシステム特権 ID は 適時に削除されているか 8. 定期的なシステム特権 ID の棚卸しとシステム部門責任者による確認に係る手続が適切に規定されているか 定期的にシステム部門責任者がシステム特権 ID の棚卸しを行い 使用していない ID がないか システム上の権限と業務上の権限とが整合しているか確かめているか 9. 社内システム上管理されているデータについて アプリケーションによる処理を介さずに行う直接修正は 適切な管理者による承認を得た上で行われているか また 修正結果が意図したとおりになっていることを確かめているか チェックのポイントな承認の下 実施されていることを確かめる 3 システム特権 ID を共用している場合 その使用又は貸出管理が適切に行われているか また その利用に関し 事後的なモニタリングが行われているか 1 システム特権 ID の削除に係る手続が定められているか 2 削除事由の生じたシステム特権 ID が適時に削除されているか 又は無効化されているか 1 システム特権 ID の棚卸しに係る手続が定められているか 2 システム特権 ID の棚卸しの実施に関する証跡を入手し 定期的にシステム特権 ID の棚卸しが実施され 未使用 ID 権限相違の ID がないか調査されているか 3 2の結果 不適切な ID が発見された場合 適切にフォローアップされているか 1 データの直接修正に係る手続が定められているか 2 適切な承認の下 データの直接修正が行われているか 3 データの修正が意図したとおりに行われたことについて 確認が行われているか (2) 開発 変更チェック項目チェックのポイント 1. 経営者の承認を得た適切なシステム導システム導入 システム変更に関する規入 システム変更に関する規程が定めら程が実態に即して整備されているか れているか 2. 新規システム導入 プログラム変更等 1 新規システム導入 プログラム変更等 - 56 -
チェック項目は 導入要件等についての検討がなされ 利用者 ( ユーザー ) 部門責任者 システム管理責任者 経営者などの適切な承認を得た上で決定されているか 3. 新規システム導入 プログラム変更等に際し 本番環境にリリースする前に システムロジック 業務フロー双方の観点から適切にテストが実施されているか 4. 新規システム導入 プログラム変更の本番環境への反映は 利用者 ( ユーザー ) 部門責任者 システム管理責任者 経営者などの承認を得た上で実施されているか 5. スケジューラに組み込まれたバッチジョブ等 ( インターフェースジョブを含む ) の変更は 適切なシステム管理責任者の承認の下 実施されているか 6. 本番環境への変更を加える行為は適切に制限され 開発部門と分離されているか チェックのポイントに係る手続が定められているか 2 利用者部門 システム管理責任者 経営者などにより 導入要件等の検討が行われた上で 当該プロジェクトの実施が承認されているか 1 システム導入 プログラム変更に関するテスト手続が定められているか 2 本番環境へのリリース前にシステム導入 プログラム変更に関するテストが行われ 適切な管理者により承認されているか 1 システム導入 プログラム変更の本番環境への反映に係る手続が定められているか 2 システム導入 プログラム変更の本番環境への反映の決定に関し 本番環境反映前に利用者 ( ユーザー ) 部門責任者 システム管理責任者 経営者などにより承認されているか 3 2で承認されたシステム導入 プログラム変更が本番環境に反映されているか 1 スケジューラに組み込まれたバッチジョブ等 ( インターフェースジョブを含む ) の変更に係る手続が定められているか 2 スケジューラに組み込まれたバッチジョブ等 ( インターフェースジョブを含む ) の変更に関し 適切な管理者が承認しているか 1 開発環境と本番環境は 適切な方法で分離されているか 2 本番環境に変更を加える行為が制限され 本番環境への変更権限が開発部門と分離されているか - 57 -
(3) システムの運用チェック項目 1. 経営者の承認を得た適切な運用管理に関する規程が定められているか 2. システム ( ソフト ハード ネットワーク問わず ) に不具合 ( 障害 ) が生じた場合 定められた関係者に連絡がなされ 適切に対応されているか 3. 管理対象のデータはあらかじめ定められた頻度 スケジュールに従って 定期的にバックアップされているか バックアップメディアは安全な場所に適切に保管されているか 4. サーバーの設置場所には 物理的なアクセス制限があるか 職務に応じた担当者のみがデータセンターや本番ルームにアクセスできるように制限されているか 5. 各サーバーに対するアクセス記録の保存 検証が行われているか 6. ネットワークの脆弱性診断が 定期的に実施されているか 7. 侵入検知システム等によって 脅威は適時に警告が出されているか また これらの脅威は調査分析されているか 8.BCP が策定され 必要に応じて適時に見直しが行われているか チェックのポイント運用管理規程等が実態に即して整備されているか 1 発生した障害に対する対応手続が定められているか 2 発生した障害が定められた関係者に連絡され 適切な対応が執られているか 1 管理対象のデータのバックアップ手続及び保管場所が定められているか 2 管理対象のデータがあらかじめ定められた頻度 スケジュールに従って定期的にバックアップされ 安全な場所に保管されているか 1 サーバーの設置場所及び当該設置場所への物理的なアクセス制限に関する手法及び手続が定められているか 2 サーバーの設置場所に対する物理アクセスが 適切な管理者により承認されているか 1 各サーバーに対するアクセス記録が保存されているか 2 各サーバーに対するアクセスに不正なものがないか 検証が行われているか 1 ネットワークの脆弱性診断が 定期的に行われているか 2 脆弱性診断の結果 発見された問題点について 適切に対応がされているか 1 侵入検知システム等が導入され 脅威の把握が適時にされているか 2 検知された脅威が調査分析されているか 1 BCP が策定されているか 2 BCP の見直しの基準が定められ 当該基準に従い見直しが行われているか - 58 -
(4) その他チェック項目 1. 第三者に上記管理業務の一部を委託している場合 ( 例えば アプリケーション システムの開発 運用業務の委託や サーバー管理の委託等 ) その管理状況について適時にモニタリングが行われているか チェックのポイント 1 外部委託先のモニタリング手続が定められているか 2 定められた外部委託先のモニタリング方法に従い モニタリングが実施されているか 3 上記の各チェック項目のチェックに当たり 受託業務に係る SOC 報告書 ( 日本における監査 保証実務委員会実務指針第 86 号 受託業務に係る内部統制の保証報告書 及びIT 委員会実務指針第 7 号 受託業務のセキュリティ 可用性 処理のインテグリティ 機密保持及びプライバシーに係る内部統制の保証報告書 に基づく保証報告書を含む ) が利用可能か 利用できない場合は 直接受託会社における各チェック項目のチェックを実施しているか - 59 -
付録 4 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続チェック項目及びチェックポイント 合意された手続及び手続実施結果対照表 以下は 付録 1 仮想通貨交換業者における利用者財産の分別管理に係る独立業務実施者の合意された手続実施結果報告書の文例 の 別紙仮想通貨交換業者における利用者財産の分別管理に係る合意された手続実施結果 における 合意された手続 手続実施結果及び発見事項 と 付録 3 仮想通貨交換業者における利用者財産の分別管理に係る合意された手続チェック項目 チェックのポイント との対応関係を示したものとなっている なお 金銭の分別管理については 仮想通貨交換業者に関する内閣府令第 20 条 ( 以下 内閣府令 という ) により 預金等による区分管理又は内閣府令第 21 条の要件を満たす利用者区分管理信託のいずれかによることとされているため 以下の3 及び4は いずれかが該当することとなる 1. 全般的事項 チェック項目 チェックのポイント 合意された手続 手続実施結果及び発見事項 1. 分別管理に関する法令 諸規則等の理解及び体制整備について 次の手続を行う 1 分別管理に関する法令遵守を所管する代表取 1 代表取締役社長に 関連法令 諸規則等の内 1 代表取締役社長に質問し 以下の回答を得 締役は 関連法令 諸規則等の内容について理解 容について理解し 遵守する体制を整備している た し 遵守する体制を整備しているか かについて質問する 2 分別管理に関する法令遵守を所管する代表取 2 代表取締役社長に 関連法令 諸規則等の内 2 代表取締役社長に質問し 以下の回答を得 締役は 関連法令 諸規則等の内容 ( 改訂時の内 容 ( 改訂時の内容を含む ) について 社内へ周知 た 容を含む ) について社内へ周知徹底させているか 徹底させる方法について質問する 1. 利用者財産の分別管理に関する法令 諸規則等 ( 資金決済に関する法律 ( 以下 資金決済法 という ) 仮想通貨交換業者に関する内閣府令 ( 以下 内閣府令 という ) 事務ガイドライン 16. 仮想通貨交換業者関係 ( 以下 ガイドライン という ) 等 ) について 理解しているか また 法令 諸規則等の内容について伝達周知されているか 2. 分別管理の社内規程 規則及び手続が明確化されており 適切に運用されているか 仮想通貨交換業者は 事務部門において十分にけん制機能が発揮されるような体制整備を含む 事務リスクに係る内部管理態勢を適切に整備することが要請されている ( ガイドライン Ⅱ-2-3- 2-2) 3. 分別管理の執行方法について 利用者との契約に反映されているか 4. 社内監査 検査が明確に規定されており 定期的に実施されているか 1 社内規程等が実態に即して整備されているか 2 社内規程等において 金銭 仮想通貨それぞれについて 分別管理の手続の詳細や職務分掌を含め具体的に定められているか 3 金銭 仮想通貨及び預金の預入 払出 信託の追加 解約において それぞれ担当部署において事務マニュアルなどが整備され そのとおり運用されているか 金銭 仮想通貨それぞれについて 分別管理の執行方法が利用者との契約に反映されているか なお 国内外を問わず 第三者において管理する場合に契約に明記されており 利用者からの同意を得ているか 社内監査 検査マニュアルが作成されており 実際に社内監査 検査が実施されているか 2. 分別管理の規定等の整備及び運用について 次の手続を行う 1 代表取締役社長に 社内規程等が実態に即して整備されているかについて質問する 2 社内規程を閲覧して 金銭 仮想通貨それぞれについて 分別管理の手続の詳細や職務分掌を含め具体的に定められていることを確かめる 3 代表取締役社長に 金銭 仮想通貨及び預金の預入 払出 信託の追加 解約において それぞれ担当部署において事務マニュアルなどが整備され そのとおり機能しているかについて質問する 4 分別管理に関する社内規程及び金銭 仮想通貨及び預金の預入 払出 信託の追加 解約に関する事務マニュアルを入手し 報告書に添付する 3. 分別管理方法の利用者との契約への反映について次の手続を行う 1 代表取締役社長に 金銭 仮想通貨それぞれについて 分別管理の執行方法が利用者との契約に反映されているか また 第三者において管理する場合に契約に明記されており 利用者からの同意を得ているかについて質問する 2 利用者との契約書を閲覧し 分別管理の執行方法についての記載があること また 第三者において管理する場合に明記されていることを確かめる 1 代表取締役社長に質問し 以下の回答を得た 2 分別管理に関する規定 を閲覧し 第〇条に分別管理の手続の詳細や職務分掌を含め具体的に定められていることを確かめた 3 代表取締役社長に質問し 以下の回答を得た 4 〇〇より 分別管理に関する規程 及び 金銭 仮想通貨及び預金の預入 払出 信託の追加 解約に関する事務マニュアルに相当する 〇〇 を入手し 報告書に添付している 1 た 代表取締役社長に質問し 以下の回答を得 2 利用者との契約書を閲覧し 第〇条に分別管理の執行方法 ( 第三者において管理する場合を含む ) についての記載があることを確かめた 3 利用者との契約書を入手し 報告書に添付す 3 〇〇より 利用者との契約書を入手し 報告 る 書に添付している 4. 社内検査の状況について 1 社内検査の対象及び期間について 社内検査 1 社内検査責任者に 社内検査の対象及び期間 責任者に質問する について質問し 以下の回答を得た 2 社内検査報告を閲覧し 実際に社内検査が行われていることを確かめる 2 社内検査報告を閲覧し 平成〇年〇月 日に〇〇に対する社内検査が実施されていることを確かめた -60 -
チェック項目 チェックのポイント 合意された手続 手続実施結果及び発見事項 3 社内検査マニュアル を入手し 報告書に 3 社内検査マニュアル を入手し 報告書に 添付する 添付している 分別管理に関する法令遵守を所管する代表取締役への報告体制について 社内規程等において明確 5. 代表取締役への報告体制について 1 分別管理に関する社内規程を閲覧し 代表取 1 分別管理に関する社内規程を閲覧し 第〇条 にされているか また 社内監査 検査報告記録が残されているか 締役社長への報告に関する規定があることを確かめる 第〇項に代表取締役社長への報告に関する規定があることを確かめた 5. 分別管理に関する法令遵守を所管する代表取締役への報告体制は整備されているか 6. 利用者区分管理信託の不足 区分管理預金の残高不足 不適切な解約 仮想通貨の管理相違等異例事項があった場合 適切な措置が講じられる体制 ( ) ができているか 異例事項の内容を把握したうえで分別管理の内部統制に与える影響を検討する体制をいうものとする 7. 金融庁の検査等において指摘された事項について 適切な措置が講じられているか 8. 利用者勘定元帳及び仮想通貨管理明細簿 各営業日における管理する利用者の金銭の額及び仮想通貨の数量の記録 ( 内閣府令第 26 条第 1 項第 3 号及び第 4 号 ) を適切に作成しているか 仮想通貨交換業に関する帳簿書類は 仮想通貨交換業者の業務及び利用者財産の管理の状況を正確に反映させるとともに 分別管理監査の結果に関する記録を行わせることにより 利用者保護に資するため法令にその作成及び保存義務が規定されているものである ( ガイドライン Ⅱ-2-2-3-1 ) 利用者勘定元帳には 法定通貨の入出金及び差引残高についても記載する なお 利用者勘定元帳を作成する前提として ブロックチェーン等のフロー情報から残高情報を作成 表示するシステム上のデータが存在することを想定している 9. 契約締結時交付書面 ( 取引報告書 ) 取引残高報告書及び取引残高報告書を適切に作成し 利用者に送付しているか また 利用者の返答及び苦情等の管理を適切に行っているか 仮想通貨交換業者は 利用者等からの申出に対して適切に対処していくことを要請されており か 分別管理に関する法令違反が発見された場合の対応方針について規定されているか また 実際に法令違反が発見された場合に その対応措置を講じているか 金融庁の検査等において指摘された事項に適切に対応しているか また 対応について関係者へ周知徹底が図られているか 利用者の全ての取引について 利用者ごとに作成される利用者勘定元帳の取引情報 ( 利用者の氏名又は名称 仮想通貨の名称 自己 媒介 取次ぎ又は代理の別 売付け 買付け又は他の仮想通貨との交換の別 約定年月日 仮想通貨の数量 約定価格又は単価及び金額 法定通貨の入出金及び差引残高 ) 及び仮想通貨管理明細簿の取引情報 ( 受入れ又は払出しの別及びその年月日 利用者の仮想通貨を管理する者の氏名又は名称 仮想通貨の名称 仮想通貨の数量 ) として正確に記帳されているか また 各営業日における管理する利用者の金銭の額及び仮想通貨の数量の記録においては 利用者の金銭の額及び仮想通貨の数量の合計及び利用者別の金銭の額及び仮想通貨の数量が記録されているか 1 利用者の全ての取引及び残高について 取引報告書及び取引残高報告書が正確に作成されているか 2 〇〇に 直近の代表取締役への報告状況につ 2 〇〇に対して直近の報告状況について質問 いて質問する し 以下の回答を得た 3 直近の代表取締役社長への報告書を入手し 3 直近の報告書を入手し 添付している 添付する 6. 法令違反への対応 1 代表取締役社長に 分別管理に関する法令違反が発見された場合の対応方針について質問す 代表取締役社長に質問し 以下の回答を得た る 2 代表取締役社長に直近 1 年間における分別管 理に関する法令違反の有無を質問し 有る場合に は その後の措置を質問する 7. 金融庁の検査等の指摘事項及び指摘事項への対応について次の手続を行う 1 代表取締役社長に 金融庁の検査等において指摘された事項及び当該指摘事項に対する対応状況について質問する 2 代表取締役社長に 対応について関係者へいかに周知徹底が図られているかについて質問する 8. 利用者勘定元帳及び仮想通貨管理明細簿を適切に作成しているかについて 次の手続を行う 1 〇〇に 利用者勘定元帳及び仮想通貨管理明細簿 各営業日における管理する利用者の金銭の額及び仮想通貨の数量の記録 ( 内閣府令第 26 条第 1 項第 3 号及び第 4 号 ) の作成方法について 質問する 2 平成〇年〇月 日の 1 利用者の取引記録のデータを入手し 利用者勘定元帳及び仮想通貨管理明細簿が正確に記帳されていることを確かめる 9. 契約締結時交付書面 ( 取引報告書 ) 及び取引残高報告書を適切に作成し 利用者に送付しているかについて 次の手続を行う 1 〇〇に 利用者の全ての取引及び残高について 取引報告書及び取引残高報告書が正確に作成されているかについて質問する 代表取締役社長に質問し 以下の回答を得た 1 〇〇に質問し 以下の回答を得た 2 平成〇年〇月 日の1 利用者の取引記録のデータを入手し 利用者勘定元帳及び仮想通貨管理明細簿が正確に記帳されていることを確かめた 1 〇〇に質問し 以下の回答を得た -61 -